MosaicRegressor

Descrição do MosaicRegressor

O MosaicRegressor representa apenas a segunda vez que o rootkit UEFI foi observado sendo implantado em estado selvagem. UEFI significa Unified Extensible Firmware Interface e é um alvo realmente interessante para os operadores de malware porque é instalado em um armazenamento flash Serial Peripheral Interface Bus (SPI) que é soldado diretamente à placa-mãe do computador. Como resultado, qualquer malware que o explore obterá uma tremenda persistência no sistema comprometido, pois não será modificado pela reinstalação do sistema operacional ou por quaisquer alterações nos discos rígidos.

O nome MosaicRegressor foi dado a este rootkit UEFI pelos primeiros pesquisadores que o descobriram. De acordo com as suas descobertas, o MosaicRegressor não foi construído do zero. Em vez disso, os hackers pegaram o código do bootkit VectorEDK da Hacking Team, que vazou em 2015, e o modificaram pesadamente. Os cibercriminosos criaram uma estrutura bastante complexa para as atividades do rootkit. Ele incorpora vários downloaders e vários carregadores intermediários antes que os módulos de carga final sejam descartados no sistema comprometido. A estrutura sofisticada e o fato dos módulos corrompidos serem executados apenas ao receberem o comando adequado dos hackers criam obstáculos significativos para a análise do rootkit. No entanto, os pesquisadores de segurança foram capazes de determinar que um módulo específico era responsável por coletar, arquivar e, em seguida, exfiltrar todos os dados encontrados na pasta Documentos Recentes.

As Vítimas do MosaicRegressor Compartilham Conexão com a Coréia do Norte

Entidades de vários continentes diferentes parecem estar entre as vítimas do MosaicRegressor. O rootkit foi encontrado em computadores de várias Organizações Não Governamentais (ONGs) e entidades diplomáticas localizadas na Europa, África e Ásia durante os dois anos entre 2017 e 2019. O único elo comum entre as vítimas que os pesquisadores de segurança cibernética conseguiram encontrar é sua localização sendo a Coreia do Norte. Todas as organizações afetadas estiveram presentes no país ou realizando atividades sem fins lucrativos relacionadas a ele. Na verdade, um dos vetores de ataque empregados pelos hackers foi distribuir arquivos SFX envenenados disfarçados como documentos discutindo vários assuntos relacionados à Coréia do Norte.