MosaicRegressor, máxima persistencia en ataques dirigidos

14 octubre, 2020
6 Compartido 1,154 Visualizaciones

MosaicRegressor utiliza código filtrado de Hacking Team

Los investigadores de Kaspersky han descubierto una campaña de espionaje APT que utiliza un tipo de malware poco usual, conocido como bootkit para firmware. El nuevo malware fue detectado por la tecnología de análisis BIOS/UEFI de Kaspersky, que detecta amenazas conocidas y desconocidas. La tecnología de análisis identificó un malware desconocido en la Interfaz Extensible de Firmware Unificada (UEFI), una parte esencial de cualquier dispositivo, lo que dificulta su detección y eliminación de los sistemas infectados. El bootkit UEFI utilizado para el malware es una versión personalizada del bootkit de Hacking Team, filtrado en 2015.

El firmware UEFI es una parte esencial de un ordenador y se ejecuta antes que el sistema operativo y que cualquier programa instalado. Si el firmware UEFI se modifica de alguna manera para que incluya código malicioso, ese código se lanzará antes que el sistema operativo, haciendo su actividad potencialmente invisible para las soluciones de seguridad. Esto, y el hecho de que el propio firmware reside en un chip flash separado del disco duro, hace que los ataques contra la UEFI sean excepcionalmente evasivos y persistentes – la infección del firmware significa esencialmente que, independientemente de cuántas veces se haya reinstalado el sistema operativo, el malware instalado por el bootkit permanecerá en el dispositivo.

Los investigadores de Kaspersky encontraron una muestra de este tipo de malware utilizada en una campaña que utilizaba variantes de un framework modular complejo desplegado en varias etapas denominado MosaicRegressor. El framework se utilizó para el espionaje y la recopilación de datos, siendo el malware de la UEFI uno de los métodos de persistencia de este nuevo malware, hasta entonces desconocido. 

Los componentes del bootkit de la UEFI revelados se basaban en gran medida en el bootkit ‘Vector-EDK’ desarrollado por Hacking Team y cuyo código fuente se filtró online en 2015. Es muy probable que el código filtrado haya permitido a los atacantes construir su propio software con poco esfuerzo de desarrollo y menor riesgo de exposición.

Los ataques se localizaron gracias al Firmware Scanner, incluido en los productos de Kaspersky desde principios de 2019. Esta tecnología fue desarrollada para detectar específicamente las amenazas que se esconden en el ROM BIOS, incluyendo imágenes de firmware UEFI.

Aunque no fue posible detectar el vector de infección exacto que permitió a los atacantes sobrescribir el firmware original de la UEFI, los investigadores de Kaspersky dedujeron que se podrían haber basado en lo que se conoce como el VectorEDK a partir de los documentos filtrados de Hacking Team. Estos sugieren, sin excluir otras opciones, que las infecciones se hubieran producido a través del acceso físico a la máquina de la víctima, en concreto mediante un USB de arranque, que contendría una utilidad de actualización especial. El firmware parcheado facilitaría entonces la instalación de un descargador de troyanos, un malware que permite descargar cualquier carga útil adecuada para las necesidades del atacante cuando el sistema operativo está en funcionamiento.

Sin embargo, en la mayoría de los casos, los componentes de MosaicRegressor llegaron a las víctimas utilizando medidas mucho menos sofisticadas como el spearphishing, con un dropper oculto en un archivo señuelo. La estructura de múltiples módulos del framework permitió a los atacantes ocultar un análisis del framework más amplio y desplegar los componentes en las máquinas objetivo a demanda. El malware instalado inicialmente en el dispositivo infectado es un troyano descargador, un programa capaz de descargar carga útil adicional y otro malware. Dependiendo de lo que se haya descargado, el malware podría cargar o descargar cualquier tipo de archivo desde/a cualquier URL y recopilar información de la máquina objetivo.

Basándose en el perfil de las víctimas, los investigadores pudieron determinar que MosaicRegressor se utilizó en una serie de ataques dirigidos a diplomáticos y miembros de ONG de África, Asia y Europa. Algunos de los ataques incluían spearphishing en ruso, mientras que otros estaban relacionados con Corea del Norte y se utilizaban como señuelo para descargar malware.

«Aunque los ataques UEFI presentan amplias oportunidades para los actores de amenazas, MosaicRegressor es el primer caso conocido en el que un actor de amenazas ha utilizado un firmware UEFI hecho a medida y malicioso “in the wild”. Los ataques “in the wild” conocidos anteriormente utilizaban software legítimo (por ejemplo, LoJax), siendo éste el primer ataque “in the wild” que aprovecha un kit de arranque UEFI hecho a medida. Este ataque demuestra que, aunque es raro, en casos excepcionales los actores están dispuestos a hacer grandes esfuerzos para obtener el máximo nivel de persistencia en la máquina de una víctima. Los actores de amenazas siguen diversificando sus herramientas y son cada vez más creativos en cuanto a la forma en que se dirigen a las víctimas, al igual que han de serlo los proveedores de seguridad para adelantarse a los atacantes. Afortunadamente, la combinación de nuestra tecnología y el conocimiento de las campañas actuales y pasadas que aprovechan el firmware infectado nos ayuda a vigilar e informar sobre futuros ataques contra tales objetivos«, comenta Mark Lechtik, investigador principal de seguridad del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky.

«El uso de código fuente de terceros filtrado y su transformación en un nuevo y avanzado malware vuelve a recordar la importancia de la seguridad de los datos. Una vez que se filtra el software, ya sea un bootkit, un malware o cualquier otra cosa, los actores de amenazas obtienen una ventaja significativa. Las herramientas gratuitas disponibles les brindan la oportunidad de avanzar y personalizar sus conjuntos de herramientas con menos esfuerzo y menos posibilidades de ser detectados«, comenta Igor Kuznetsov, investigador principal de seguridad del equipo GReAT de Kaspersky.

Para mantenerse protegido de amenazas como MosaicRegressor, Kaspersky recomienda:

  • Proporcione a su equipo SOC acceso a la última inteligencia sobre amenazas. 
  • Implemente soluciones EDR
  • Proporcione a su personal formación básica de higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social. 
  • Utilice un producto de seguridad del endpoint robusto capaz de detectar el uso de firmware.
  • Actualice regularmente su firmware UEFI y adquiera firmware únicamente de proveedores de confianza.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

All4Sec alcanza su primera facturación millonaria en 2017
Soluciones Seguridad
67 compartido1,895 visualizaciones
Soluciones Seguridad
67 compartido1,895 visualizaciones

All4Sec alcanza su primera facturación millonaria en 2017

José Luis - 16 marzo, 2018

Con apenas cuatro años de existencia y a partir de la iniciativa personal de Alfonso Franco, la compañía ha conseguido…

La solución AMPARO incrementa sus capacidades para facilitar el proceso de adecuación al Esquema Nacional de Seguridad
Actualidad
5 compartido1,156 visualizaciones
Actualidad
5 compartido1,156 visualizaciones

La solución AMPARO incrementa sus capacidades para facilitar el proceso de adecuación al Esquema Nacional de Seguridad

Aina Pou Rodríguez - 7 octubre, 2020

El Centro Criptológico Nacional incorpora nuevas funcionalidades a la solución El Centro Criptológico Nacional ha mejorado e incrementado las capacidades…

200.000 routers MikroTik afectados, descarga ya el último parche para solventar la vulnerabilidad
Security Breaches
11 compartido2,796 visualizaciones
Security Breaches
11 compartido2,796 visualizaciones

200.000 routers MikroTik afectados, descarga ya el último parche para solventar la vulnerabilidad

Samuel Rodríguez - 7 agosto, 2018

MikroTik sufre un ataque de criptojacking en más de 200.000 routers. Si un usuario tiene un router de esta marca, debe…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.