Aktor ancaman berbahasa Mandarin yang tidak dikenal telah dikaitkan dengan jenis baru dari rootkit firmware UEFI canggih yang disebut Untai Kosmik.
“Rootkit terletak di gambar firmware motherboard Gigabyte atau ASUS, dan kami memperhatikan bahwa semua gambar ini terkait dengan desain yang menggunakan chipset H81,” kata peneliti Kaspersky dalam laporan baru yang diterbitkan hari ini. “Ini menunjukkan bahwa kerentanan umum mungkin ada yang memungkinkan penyerang untuk menyuntikkan rootkit mereka ke dalam gambar firmware.”
Para korban yang diidentifikasi dikatakan sebagai individu pribadi yang berlokasi di Cina, Vietnam, Iran, dan Rusia, tanpa ikatan yang jelas dengan organisasi atau industri vertikal mana pun. Atribusi ke aktor ancaman berbahasa Cina berasal dari kode yang tumpang tindih antara CosmicStrand dan malware lain seperti botnet MyKings dan MoonBounce.
Rootkit, yang merupakan implan malware yang mampu menanamkan diri di lapisan terdalam dari sistem operasi, berubah dari jarang menjadi semakin umum terjadi di lanskap ancaman, melengkapi pelaku ancaman dengan siluman dan ketekunan untuk waktu yang lama.
Jenis malware semacam itu “memastikan komputer tetap dalam keadaan terinfeksi bahkan jika sistem operasi diinstal ulang atau pengguna mengganti hard drive mesin sepenuhnya,” kata para peneliti.
CosmicStrand, file hanya 96,84KB, juga merupakan jenis kedua dari rootkit UEFI yang ditemukan tahun ini setelah MoonBounce pada Januari 2022, yang digunakan sebagai bagian dari kampanye spionase yang ditargetkan oleh kelompok ancaman persisten lanjutan terkait China (APT41) yang dikenal sebagai Winnti.
Meskipun vektor akses awal infeksi adalah suatu misteri, tindakan pasca-kompromi melibatkan pengenalan perubahan pada driver yang disebut CSMCORE DXE untuk mengarahkan ulang eksekusi kode ke segmen yang dikendalikan penyerang yang dirancang untuk dijalankan selama startup sistem, yang pada akhirnya memimpin untuk penyebaran malware di dalam Windows.
Dengan kata lain, tujuan serangan itu adalah untuk merusak proses pemuatan OS untuk menyebarkan implan tingkat kernel ke mesin Windows setiap kali di-boot, menggunakan akses yang sudah tertanam ini untuk meluncurkan shellcode yang terhubung ke server jarak jauh untuk mengambil yang sebenarnya. muatan berbahaya untuk dieksekusi pada sistem.
Sifat pasti dari malware tahap berikutnya yang diterima dari server masih belum jelas. Yang diketahui adalah bahwa payload ini diambil dari “update.bokts[.]com” sebagai rangkaian paket yang berisi 528 byte-data yang kemudian disusun kembali dan ditafsirkan sebagai shellcode.
“Kode shell yang diterima dari [command-and-control] server mungkin menjadi stager untuk executable PE yang disediakan penyerang, dan kemungkinan besar ada lebih banyak lagi,” kata Kaspersky, menambahkan bahwa mereka menemukan total dua versi rootkit, yang digunakan antara akhir 2016 dan pertengahan 2017. , dan varian terbaru, yang aktif pada tahun 2020.
Menariknya, vendor cybersecurity China Qihoo360, yang menjelaskan versi awal rootkit pada tahun 2017, mengemukakan kemungkinan bahwa modifikasi kode mungkin merupakan hasil dari motherboard backdoor yang diperoleh dari pengecer bekas.
“Aspek yang paling mencolok […] adalah bahwa implan UEFI ini tampaknya telah digunakan di alam liar sejak akhir 2016 – jauh sebelum serangan UEFI mulai dideskripsikan secara publik,” kata para peneliti. “Penemuan ini menimbulkan pertanyaan terakhir: apakah ini yang digunakan penyerang kembali lalu, apa yang mereka gunakan hari ini?”