Kaspersky descubre campaña de ciberespionaje con malware personalizado

Por Press - 06/10/2020

Kaspersky descubrió una campaña de espionaje APT (Amenaza Persistente Avanzada) que utiliza un malware muy pocas veces visto, conocido como firmware bootkit.

El nuevo malware fue detectado por la tecnología de escaneo UEFI/BIOS de Kaspersky, la cual detecta amenazas conocidas y desconocidas. La tecnología de escaneo identificó un malware previamente desconocido en la Interfaz de firmware extensible unificada (UEFI, por sus siglas en inglés), una parte esencial de cualquier dispositivo informático moderno, lo que hace que sea muy difícil de detectar y eliminar de los dispositivos infectados. El bookit de UEFI utilizado con el malware es una versión adaptada del bootkit de Hacking Team, que se filtró en 2015.

El firmware de UEFI es una parte esencial del computador, la cual se pone en marcha antes que el sistema operativo y todos los programas instalados en él. Si el firmware UEFI se modifica de alguna manera para que contenga código malicioso, ese código se iniciará antes que el sistema operativo y esto hará que su actividad sea potencialmente invisible para las soluciones de seguridad. Esto, y el hecho de que el firmware en sí reside en un chip flash separado del disco duro, hace que los ataques contra UEFI sean excepcionalmente evasivos y persistentes; la infección del firmware significa esencialmente que, independientemente de cuántas veces se haya reinstalado el sistema operativo, el malware plantado por el bootkit permanecerá en el dispositivo.

Los investigadores de Kaspersky encontraron que una muestra de dicho malware se utilizó en una campaña que había instalado variantes de una compleja infraestructura modular de varias etapas denominada Mosaico Regressor. Esta infraestructura se utilizó para el espionaje y la recopilación de datos, y el malware UEFI era uno de los métodos de persistencia para este nuevo malware previamente desconocido.

Los componentes del bootkit de UEFI que fueron revelados se basaban en gran medida en el bootkit ‘Vector-EDK’ desarrollado por Hacking Team, cuyo código fuente se había filtrado en línea en 2015. El código filtrado probablemente permitió a los perpetradores crear su propio software con poco esfuerzo de programación y menor riesgo de quedar expuestos.

Los ataques fueron detectados con la ayuda de Firmware Scanner, que viene incluido en los productos de Kaspersky desde principios de 2019. Esta tecnología se desarrolló para detectar específicamente las amenazas que se esconden en el ROMBIOS, incluso imágenes del firmware UEFI.

Aunque no fue posible detectar el vector de infección exacto que permitió a los atacantes sobrescribir el firmware UEFI original, los investigadores de Kaspersky dedujeron una opción de cómo se podría hacer basándose en lo que se sabe sobre VectorED de los documentos filtrados del Hacking Team. Estos sugieren, sin excluir otras opciones, que las infecciones podrían haber sido posibles a través del acceso físico a la máquina de la víctima, específicamente con una llave USB apta para el arranque, que contendría un utensilio especial de actualización. Con esta adaptación, el firmware facilitaría la instalación de un descargador de troyanos, un malware que permite descargar cualquier carga útil adecuada para las necesidades del atacante cuando el sistema operativo está en funcionamiento.

Sin embargo, en la mayoría de los casos, los componentes de Mosaic Regressor se entregaron a las víctimas utilizando medidas mucho menos complejas, como la entrega de un troyano droppper oculto en un registro junto con un archivo señuelo mediante la suplantación de identidad. La estructura multimodular de la infraestructura permitió a los atacantes ocultar del escaneo ese marco más amplio e implementar componentes en las máquinas objetivo solo por pedido.

El malware instalado inicialmente en el dispositivo infectado es un descargador de troyanos, un programa que puede descargar cargas útiles adicionales y otros programas nocivos. De acuerdo con la carga útil descargada, el malware podría descargar o cargar archivos arbitrarios desde o hacia URL arbitrarias y recopilar información de la máquina objetivo.

Basándose en la afiliación de las víctimas descubiertas, los investigadores pudieron determinar que Mosaic Regressor se utilizó en una serie de ataques dirigidos contra diplomáticos y miembros de ONGs de África, Asia y Europa. Algunos de los ataques incluían documentos de spear phishing en ruso, mientras que otros estaban relacionados con Corea del Norte y se utilizaron como señuelo para descargar malware.

La campaña no se ha vinculado a ningún agente conocido de amenazas persistentes avanzadas.

Para mantenerse protegido contra amenazas como Mosaic Regressor, Kaspersky recomienda:

  • Proporcione a su equipo de SOC acceso a la inteligencia de amenazas más reciente. El Kaspersky Threat Intelligence Portal es un punto de acceso único para el equipo de TI de la empresa, y proporciona información y conocimientos sobre ciberataques recopilados por Kaspersky durante más de 20 años.
  • Para la detección, investigación, y la corrección oportuna de incidente a nivel de endpoints, implemente soluciones EDR, como Kaspersky Endpoint Detection and Response.
  • Brinde a su personal capacitación básica sobre higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishingu otras técnicas de ingeniería social.
  • Utilice un producto robusto de seguridad en endpointsque pueda detectar el uso de firmware, como Kaspersky Endpoint Security for Business.
  • Actualice periódicamente su firmware UEFI y solo compre firmware de proveedores de confianza.

 

 

Artículos que te pueden interesar

Chile sufre más de 33 millones de ataques de acceso remoto en 2020

Ver más

ClubHouse: Falsa aplicación para Android roba credenciales de acceso de más de 450 aplicaciones

Ver más

47% de las empresas latinoamericanas utiliza tecnología obsoleta dentro de su infraestructura de TI

Ver más