Facebook Linkedin Twitter Instagram Youtube Telegram

MosaicRegressor, máxima persistencia en ataques dirigidos

MosaicRegressor utiliza código filtrado de Hacking Team

Los investigadores de Kaspersky han descubierto una campaña de espionaje APT que utiliza un tipo de malware poco usual, conocido como bootkit para firmware. El nuevo malware fue detectado por la tecnología de análisis BIOS/UEFI de Kaspersky, que detecta amenazas conocidas y desconocidas. La tecnología de análisis identificó un malware desconocido en la Interfaz Extensible de Firmware Unificada (UEFI), una parte esencial de cualquier dispositivo, lo que dificulta su detección y eliminación de los sistemas infectados. El bootkit UEFI utilizado para el malware es una versión personalizada del bootkit de Hacking Team, filtrado en 2015.

El firmware UEFI es una parte esencial de un ordenador y se ejecuta antes que el sistema operativo y que cualquier programa instalado. Si el firmware UEFI se modifica de alguna manera para que incluya código malicioso, ese código se lanzará antes que el sistema operativo, haciendo su actividad potencialmente invisible para las soluciones de seguridad. Esto, y el hecho de que el propio firmware reside en un chip flash separado del disco duro, hace que los ataques contra la UEFI sean excepcionalmente evasivos y persistentes – la infección del firmware significa esencialmente que, independientemente de cuántas veces se haya reinstalado el sistema operativo, el malware instalado por el bootkit permanecerá en el dispositivo.

Los investigadores de Kaspersky encontraron una muestra de este tipo de malware utilizada en una campaña que utilizaba variantes de un framework modular complejo desplegado en varias etapas denominado MosaicRegressor. El framework se utilizó para el espionaje y la recopilación de datos, siendo el malware de la UEFI uno de los métodos de persistencia de este nuevo malware, hasta entonces desconocido. 

Los componentes del bootkit de la UEFI revelados se basaban en gran medida en el bootkit ‘Vector-EDK’ desarrollado por Hacking Team y cuyo código fuente se filtró online en 2015. Es muy probable que el código filtrado haya permitido a los atacantes construir su propio software con poco esfuerzo de desarrollo y menor riesgo de exposición.

Los ataques se localizaron gracias al Firmware Scanner, incluido en los productos de Kaspersky desde principios de 2019. Esta tecnología fue desarrollada para detectar específicamente las amenazas que se esconden en el ROM BIOS, incluyendo imágenes de firmware UEFI.

Aunque no fue posible detectar el vector de infección exacto que permitió a los atacantes sobrescribir el firmware original de la UEFI, los investigadores de Kaspersky dedujeron que se podrían haber basado en lo que se conoce como el VectorEDK a partir de los documentos filtrados de Hacking Team. Estos sugieren, sin excluir otras opciones, que las infecciones se hubieran producido a través del acceso físico a la máquina de la víctima, en concreto mediante un USB de arranque, que contendría una utilidad de actualización especial. El firmware parcheado facilitaría entonces la instalación de un descargador de troyanos, un malware que permite descargar cualquier carga útil adecuada para las necesidades del atacante cuando el sistema operativo está en funcionamiento.

Sin embargo, en la mayoría de los casos, los componentes de MosaicRegressor llegaron a las víctimas utilizando medidas mucho menos sofisticadas como el spearphishing, con un dropper oculto en un archivo señuelo. La estructura de múltiples módulos del framework permitió a los atacantes ocultar un análisis del framework más amplio y desplegar los componentes en las máquinas objetivo a demanda. El malware instalado inicialmente en el dispositivo infectado es un troyano descargador, un programa capaz de descargar carga útil adicional y otro malware. Dependiendo de lo que se haya descargado, el malware podría cargar o descargar cualquier tipo de archivo desde/a cualquier URL y recopilar información de la máquina objetivo.

Basándose en el perfil de las víctimas, los investigadores pudieron determinar que MosaicRegressor se utilizó en una serie de ataques dirigidos a diplomáticos y miembros de ONG de África, Asia y Europa. Algunos de los ataques incluían spearphishing en ruso, mientras que otros estaban relacionados con Corea del Norte y se utilizaban como señuelo para descargar malware.

«Aunque los ataques UEFI presentan amplias oportunidades para los actores de amenazas, MosaicRegressor es el primer caso conocido en el que un actor de amenazas ha utilizado un firmware UEFI hecho a medida y malicioso “in the wild”. Los ataques “in the wild” conocidos anteriormente utilizaban software legítimo (por ejemplo, LoJax), siendo éste el primer ataque “in the wild” que aprovecha un kit de arranque UEFI hecho a medida. Este ataque demuestra que, aunque es raro, en casos excepcionales los actores están dispuestos a hacer grandes esfuerzos para obtener el máximo nivel de persistencia en la máquina de una víctima. Los actores de amenazas siguen diversificando sus herramientas y son cada vez más creativos en cuanto a la forma en que se dirigen a las víctimas, al igual que han de serlo los proveedores de seguridad para adelantarse a los atacantes. Afortunadamente, la combinación de nuestra tecnología y el conocimiento de las campañas actuales y pasadas que aprovechan el firmware infectado nos ayuda a vigilar e informar sobre futuros ataques contra tales objetivos«, comenta Mark Lechtik, investigador principal de seguridad del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky.

«El uso de código fuente de terceros filtrado y su transformación en un nuevo y avanzado malware vuelve a recordar la importancia de la seguridad de los datos. Una vez que se filtra el software, ya sea un bootkit, un malware o cualquier otra cosa, los actores de amenazas obtienen una ventaja significativa. Las herramientas gratuitas disponibles les brindan la oportunidad de avanzar y personalizar sus conjuntos de herramientas con menos esfuerzo y menos posibilidades de ser detectados«, comenta Igor Kuznetsov, investigador principal de seguridad del equipo GReAT de Kaspersky.

Para mantenerse protegido de amenazas como MosaicRegressor, Kaspersky recomienda:

  • Proporcione a su equipo SOC acceso a la última inteligencia sobre amenazas. 
  • Implemente soluciones EDR
  • Proporcione a su personal formación básica de higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social. 
  • Utilice un producto de seguridad del endpoint robusto capaz de detectar el uso de firmware.
  • Actualice regularmente su firmware UEFI y adquiera firmware únicamente de proveedores de confianza.
Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.