使用稀有恶意软件变体的MOSAICreoLstrablarer APT活动

CENTER GIANT KASPERSKY的网络安全研究人员警告了一个先进的持久威胁（APT）被称为MOSAICregroundloror，它正在使用很少看到的恶意软件，称为固件BOOTKIT以建立目标计算机的持久性。

恶意软件已用于目标攻击 - 被描述为用于间谍和数据的复杂和多级模块框架 - 针对非洲，亚洲和欧洲的外交官和非政府组织（非政府组织）员工。虽然卡巴斯基讨论了朝鲜或俄罗斯的联系，但该活动尚不能与任何已知的行动者信心联系起来。

由卡巴斯基的扫描仪识别，在其目标计算机的统一可扩展固件界面（UEFI）中发现恶意软件，这使其特别危险。

这是因为UEFI是一部机器的重要组成部分，它开始在启动时的实际操作系统（OS）之前运行，这意味着如果可以修改其固件以包含恶意代码，则代码也将在OS之前启动，使其可能对任何已安装的安全解决方案都不可见。

此外，UEFI固件驻留在闪存芯片上分开的闪存芯片的事实使其对其进行攻击高度避免和持久性，因为无论重新安装操作系统多少次，恶意软件都将保留在设备上。

“虽然UEFI攻击对威胁演员提供了广泛的机会，但是Mosaicreplorlor是第一个公知的威胁演员在野外使用定制的恶意UEFI固件的公众的案例，”卡巴斯基全球研究和分析团队（Great）高级安全研究员表示， Mark Lechtik。

“以前在野外观察到的已知攻击只是重新批准的合法软件（例如，Lojax），使这是野生攻击中的第一个利用定制的UEFI Bootkit。

“这次袭击表明，尽管如此，在特殊情况下，演员愿意在受害者的机器上持久地获得最高的持久性。威胁演员继续剥夺他们的工具集，并与他们瞄准受害者的方式变得越来越有创造性 - 因此，安全供应商应该留在肇事者之前。

“谢天谢地，我们的技术和理解当前和过去的竞选活动利用被感染的固件有助于我们监测和报告未来对该目标的攻击，”他说。

卡巴斯基表示，发现自定义Bootkit组件基于泄漏五年前泄露的传染媒介Bootkit。卡巴斯基表示，它涉嫌蒙上投手运动员背后的演员能够使用泄露的代码来建立自己的软件很容易。

“使用泄露的第三方源代码及其定制进入了新的高级恶意软件，再次提出了数据安全性重要性的另一个提醒。一旦软件 - 就是它是一个bootkit，恶意软件或其他东西 - 被泄露，威胁演员获得了重大优势，“Igor Kuznetsov，伟大的主要安全研究员。

他说：“可自由的工具为他们提供了推进和定制其工具集​​的机会，以减少努力和检测到的较低机会，”他说。

卡巴斯基表示，它没有检测到确切的感染矢量让小组覆盖原始的UEFI固件，但基于它已经知道的VectoredK的内容，建议您可以使用对目标机器的物理访问，具体使用可引导USB来实现感染包含更新实用程序的键，该实用程序将修补固件以使其安装特洛伊木马下载器。

替代方案和更可能的情况是使用Spearphishing递送隐藏在存档中的恶意软件滴管，以及诱饵文件来传送MosaicreBoardsor组件。