Kaspersky-forskare har detaljerat en ny variant av UEFI rootkit som är tillgänglig i ASUS och Gigabyte moderkort från 2013 till 2015 och kan distribuera implantat på kärnnivå i offrets system.
Forskare döpte denna CosmicStrand, där den tidigaste varianten av detta dokumenterades av kinesiska forskare. Även om det är oklart hur hotaktören injicerar sin skadliga programvara i dessa moderkort, varnade den att den är mycket långlivad och går oftast oupptäckt.
Ett svårt att ta bort problem
För nybörjare är ett Unified Extensible Firmware Interface (UEFI) programvara som kopplar ihop systemets operativsystem med enhetens hårdvara. Det är den första som laddas när du slår på din dator, följt av systemets operativsystem och antivirusprogram.
Och det är djupt och avgörande; hotaktörer riktar in sig på det för att få flera typer av åtkomst till målets maskin. Och vi ser en ny som kommer från kinesiska hotaktörer – med namnet som CosmicStrand av Kaspersky-forskare.
Hittade i ASUS och Gigabyte moderkort, forskare noterade att det är mycket ihållande och omöjligt att upptäcka, eftersom det körs först och startar varje gång. Även om det är okänt hur hotaktörerna kan infektera moderkorten, förklarade de att det nu kommer att fungera för att få privilegier på kärnnivå.
Forskare noterade att CosmicStrand kunde tillåta hotaktörer att få åtkomst på rotnivå och utföra alla skadliga aktiviteter med befogenheter på administratörsnivå. Det mesta av dess aktivitet handlar om att försöka modifiera systemets OS för att ta kontroll över hela exekveringsflödet för att lansera skalkoden, som i gengäld tar med sig en nyttolast från hackarens C2.
Medan de sa att de infekterade moderkorten är från ASUS och Gigabyte (sedan de använde H81-kretsuppsättningen), påverkades bara den gamla hårdvaran som levererades mellan 2013 och 2015. De kopplade hotaktören till en kinesisk grupp, med tanke på kodmönster som matchade MyKings crypto mining botnät.
Det var också en tidig variant av samma UEFI rootkit detaljerad av Qihoo360kinesiska malware-specialister som namngav den Spy Shadow Trojan. Och målen för denna infektion inkluderar mestadels privatpersoner i Kina, Iran, Vietnam och Ryssland.