專家發現中國黑客使用的新“CosmicStrand”UEFI固件Rootkit

一個未知的說中文的威脅因素被歸因于一種新型復雜的統一可擴展固件接口（UEFI）固件rootkit，稱為宇宙鏈。

據稱，已確認的受害者是中國、越南、伊朗和俄羅斯的私人，與任何組織或行業都沒有明顯聯系。

rootkit是一種能夠嵌入操作系統最深層的惡意軟件植入物，在威脅領域已從罕見演變為越來越常見的情況，為威脅參與者提供了長時間的隱形和持久性。

CosmicStrand是一個只有96.84KB的文件，也是繼2022年1月的MoonBounce之后，今年發現的第二個UEFI rootkit菌株，該菌株是作為與中國有聯系的高級持續威脅組織（APT41）Winnti有針對性的間諜活動的一部分部署的。

雖然感染的初始訪問向量有點神秘，但后妥協行動涉及對名為CSMCORE DXE的驅動程序進行更改，以將代碼執行重定向到一個由攻擊者控制的段，該段設計為在系統啟動期間運行，最終導致在Windows內部署惡意軟件。

換句話說，攻擊的目標是篡改操作系統加載過程，在每次啟動時將內核級植入部署到Windows機器中，并使用這種根深蒂固的訪問來啟動連接到遠程服務器的外殼代碼，以獲取要在系統上執行的實際惡意負載。

從服務器收到的下一階段惡意軟件的確切性質尚不清楚。已知的是，該有效載荷作為一系列包含528字節數據的數據包從“update.bokts[.]com”檢索，這些數據包隨后被重新組裝并解釋為外殼代碼。

卡巴斯基指出，“從[命令和控制]服務器收到的外殼代碼可能是攻擊者提供的PE可執行文件的暫存器，而且很可能存在更多的外殼代碼，”他補充說，發現共有兩個版本的rootkit，一個是在2016年底至2017年年中使用的，另一個是在2020年激活的最新版本。

有趣的是，中國網絡安全供應商奇虎360（Qihoo360）在2017年推出了早期版本的rootkit，提出了代碼修改可能是從二手經銷商處獲得的后門主板造成的。

卡巴斯基將其歸因于一名會說中文的威脅行為人，這源于CosmicStrand和其他惡意軟件（如MyKings（又名Smominru和DarkCloud）加密貨幣僵尸網絡和MoonBounce）之間的代碼重疊，前者被描述為一種“無情”的惡意軟件，具有廣泛的基礎設施，包括bootkit、硬幣挖掘器、滴管器和剪貼板盜竊器等。

研究人員說：“最引人注目的方面是，這種UEFI植入物似乎自2016年底以來就已經在野外使用了，而早在UEFI攻擊開始被公開描述之前”。“這一發現引出了最后一個問題：如果這是攻擊者當時使用的，那么他們今天使用的是什么？”