使用稀有恶意软件变体的MOSAICreoLstrablarer APT活动
诺基亚与Google Cloud签署了五年的交易,以支持其数据中心关机计划
索赔旅游业网站是可笑的,索赔?
zoom rped raved over历史的安全实践
Verizon与私人5G网络一起焕发全球
领主建议制作技术巨头使用新闻
Dreamforce 2020:血统将Salesforce转移到公共云中
2021年的IBM Preps作为企业混合云推乘Pace
Lancashire警方将身体磨损的视频整合到数字警务应用程序中
微软在云中占据了天蓝色
AI峰会2020:为共同的好的调节AI
BCS绕过Nutanix AHV的VMware
数字公共服务在多个方面失败英国公民
谷歌云上的儿童借记卡提供商Gohenry银行可以轻松实现其基础设施的增长痛苦
AWS将灾难恢复计划带到澳大利亚
三个继续英国5G推出
Google服务中断:Gmail,YouTube和Docs暂时下降
英国科技大多数有影响力的女性2020:进入名人堂的参赛者
Carhartt将旧数据转移到云中的云
目前的IT基础设施未准备第四工业革命的传入应变
Dryad Networks获得了大型野火检测物联网网络的资金
北欧国家否认IT行业平等
遥控工作化复合的新正常企业安全挑战
vmworld 2020:VMware Partners加速企业应用程序
英国 - 欧盟Brexit交易:Techuk和Digitaleurope冰雹新的黎明,但注意未完成的数据业务
Tim Berners-Lee Startup将权力下放技术发布给企业
爱立信,蒂姆,Qualcomm,索赔5G FWA速度里程碑
猖獗的小猫花了六年攻击伊朗持不同政见者
苏格兰边界扩展了CGI外包合约,直到2040年
EC绿灯为iliad,在波兰移动采集上播放
维珍击中了2.2Gbps创新试验的宽带速度
朱利安·索兰举行了15,000份文件,以防止对美国政府的伤害
NI警方无法删除数据从记者中扣除的数据10年
德国当局探测Ransomware医院死亡
诺基亚是欧盟6G项目的技术领导
VMware想要解耦Telco Technology堆栈
法国银行CréditAgricole Backs DateCalre Scale-Up推动的浸没冷却
在2026年的35亿次预测中,5克的增长速度快于预测的5克
欧盟的高级法院提问英国电话和互联网数据监测
边境技术在很大程度上无法尊重人权
veeam buys kasten在kubernetes备份中获得升高
法院聆讯的Wikileaks关于恐怖战争战争的启示“揭示了真相”
高通公司任命新首席执行官
Orange Business Services将全球合作与AWS罢工,以加速企业云卷取
ZSL使用谷歌云和机器学习,以保护偷猎者濒临灭绝的物种
低成本计算如何让孩子进入技术
Brexit交易授予英国临时数据充足
竞争和市场权威踢出了NVIDIA / ARM调查
AAT呼吁政府重新思考税收数字豁免阈值
法院拒绝请求排除“第11小时”美国对维基解密创始人朱利安公约的证据
您的位置:首页 >论坛 > 电子业界 >

使用稀有恶意软件变体的MOSAICreoLstrablarer APT活动

2021-09-15 20:44:02 [来源]:

CENTER GIANT KASPERSKY的网络安全研究人员警告了一个先进的持久威胁(APT)被称为MOSAICregroundloror,它正在使用很少看到的恶意软件,称为固件BOOTKIT以建立目标计算机的持久性。

恶意软件已用于目标攻击 - 被描述为用于间谍和数据的复杂和多级模块框架 - 针对非洲,亚洲和欧洲的外交官和非政府组织(非政府组织)员工。虽然卡巴斯基讨论了朝鲜或俄罗斯的联系,但该活动尚不能与任何已知的行动者信心联系起来。

由卡巴斯基的扫描仪识别,在其目标计算机的统一可扩展固件界面(UEFI)中发现恶意软件,这使其特别危险。

这是因为UEFI是一部机器的重要组成部分,它开始在启动时的实际操作系统(OS)之前运行,这意味着如果可以修改其固件以包含恶意代码,则代码也将在OS之前启动,使其可能对任何已安装的安全解决方案都不可见。

此外,UEFI固件驻留在闪存芯片上分开的闪存芯片的事实使其对其进行攻击高度避免和持久性,因为无论重新安装操作系统多少次,恶意软件都将保留在设备上。

“虽然UEFI攻击对威胁演员提供了广泛的机会,但是Mosaicreplorlor是第一个公知的威胁演员在野外使用定制的恶意UEFI固件的公众的案例,”卡巴斯基全球研究和分析团队(Great)高级安全研究员表示, Mark Lechtik。

“以前在野外观察到的已知攻击只是重新批准的合法软件(例如,Lojax),使这是野生攻击中的第一个利用定制的UEFI Bootkit。

“这次袭击表明,尽管如此,在特殊情况下,演员愿意在受害者的机器上持久地获得最高的持久性。威胁演员继续剥夺他们的工具集,并与他们瞄准受害者的方式变得越来越有创造性 - 因此,安全供应商应该留在肇事者之前。

“谢天谢地,我们的技术和理解当前和过去的竞选活动利用被感染的固件有助于我们监测和报告未来对该目标的攻击,”他说。

卡巴斯基表示,发现自定义Bootkit组件基于泄漏五年前泄露的传染媒介Bootkit。卡巴斯基表示,它涉嫌蒙上投手运动员背后的演员能够使用泄露的代码来建立自己的软件很容易。

“使用泄露的第三方源代码及其定制进入了新的高级恶意软件,再次提出了数据安全性重要性的另一个提醒。一旦软件 - 就是它是一个bootkit,恶意软件或其他东西 - 被泄露,威胁演员获得了重大优势,“Igor Kuznetsov,伟大的主要安全研究员。

他说:“可自由的工具为他们提供了推进和定制其工具集​​的机会,以减少努力和检测到的较低机会,”他说。

卡巴斯基表示,它没有检测到确切的感染矢量让小组覆盖原始的UEFI固件,但基于它已经知道的VectoredK的内容,建议您可以使用对目标机器的物理访问,具体使用可引导USB来实现感染包含更新实用程序的键,该实用程序将修补固件以使其安装特洛伊木马下载器。

替代方案和更可能的情况是使用Spearphishing递送隐藏在存档中的恶意软件滴管,以及诱饵文件来传送MosaicreBoardsor组件。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。