MosaicRegressor se utilizó en una serie de ataques dirigidos contra diplomáticos y miembros de ONGs empleando tácticas de spearphishing. Los investigadores de Kaspersky descubrieron una campaña de espionaje APT (Amenaza Persistente Avanzada) que utiliza un malware muy pocas veces visto, conocido como firmware bootkit. Este nuevo malware fue detectado por la tecnología de escaneo UEFI/BIOS de Kaspersky, la cual detecta amenazas conocidas y desconocidas.
La tecnología de escaneo identificó un malware previamente desconocido en la Interfaz de firmware extensible unificada (UEFI, por sus siglas en inglés), una parte esencial de cualquier dispositivo informático moderno, lo que hace que sea muy difícil de detectar y eliminar de los dispositivos infectados. El bookit de UEFI utilizado con el malware es una versión adaptada del bootkit de Hacking Team, que se filtró en 2015.
El firmware de UEFI es una parte esencial de la computadora, la cual se pone en marcha antes que el sistema operativo y todos los programas instalados en él. Si el firmware UEFI se modifica de alguna manera para que contenga código malicioso, ese código se iniciará antes que el sistema operativo y esto hará que su actividad sea potencialmente invisible para las soluciones de seguridad. Esto, y el hecho de que el firmware en sí reside en un chip flash separado del disco duro, hace que los ataques contra UEFI sean excepcionalmente evasivos y persistentes; la infección del firmware significa esencialmente que, independientemente de cuántas veces se haya reinstalado el sistema operativo, el malware plantado por el bootkit permanecerá en el dispositivo.
Los investigadores de Kaspersky encontraron que una muestra de dicho malware se utilizó en una campaña que había instalado variantes de un compleja infraestructura modular de varias etapas denominada MosaicRegressor. Esta infraestructura se utilizó para el espionaje y la recopilación de datos, y el malware UEFI era uno de los métodos de persistencia para este nuevo malware previamente desconocido.
Los componentes del bootkit de UEFI que fueron revelados se basaban en gran medida en el bootkit ‘Vector-EDK’ desarrollado por Hacking Team, cuyo código fuente se había filtrado en línea en 2015. El código filtrado probablemente permitió a los perpetradores crear su propio software con poco esfuerzo de programación y menor riesgo de quedar expuestos.
Los ataques fueron detectados con la ayuda de Firmware Scanner, que viene incluido en los productos de Kaspersky desde principios de 2019. Esta tecnología se desarrolló para detectar específicamente las amenazas que se esconden en el ROM BIOS, incluso imágenes del firmware UEFI.
Aunque no fue posible detectar el vector de infección exacto que permitió a los atacantes sobrescribir el firmware UEFI original, los investigadores de Kaspersky dedujeron una opción de cómo se podría hacer basándose en lo que se sabe sobre VectorEDK de los documentos filtrados del Hacking Team.
Sugieren, sin excluir otras opciones, que las infecciones podrían haber sido posibles a través del acceso físico a la máquina de la víctima, específicamente con una llave USB apta para el arranque, que contendría un utensilio especial de actualización. Con esta adaptación, el firmware facilitaría la instalación de un descargador de troyanos, un malware que permite descargar cualquier carga útil adecuada para las necesidades del atacante cuando el sistema operativo está en funcionamiento.
Sin embargo, en la mayoría de los casos, los componentes de MosaicRegressor se entregaron a las víctimas utilizando medidas mucho menos complejas, como la entrega de un troyano droppper oculto en un registro junto con un archivo señuelo mediante la suplantación de identidad. La estructura multimodular de la infraestructura permitió a los atacantes ocultar del escaneo ese marco más amplio e implementar componentes en las máquinas objetivo solo por pedido.
El malware instalado inicialmente en el dispositivo infectado es un descargador de troyanos, un programa que puede descargar cargas útiles adicionales y otros programas nocivos. De acuerdo con la carga útil descargada, el malware podría descargar o cargar archivos arbitrarios desde o hacia URL arbitrarias y recopilar información de la máquina objetivo.
Basándose en la afiliación de las víctimas descubiertas, los investigadores pudieron determinar que MosaicRegressor se utilizó en una serie de ataques dirigidos contra diplomáticos y miembros de ONGs de África, Asia y Europa. Algunos de los ataques incluían documentos de spearphishing en ruso, mientras que otros estaban relacionados con Corea del Norte y se utilizaron como señuelo para descargar malware.
La campaña no se ha vinculado a ningún agente conocido de amenazas persistentes avanzadas.
“El uso del código fuente filtrado de terceros y su adaptación a un nuevo malware avanzado, recuerdan una vez más la importancia de la seguridad de los datos. Cuando se filtra software, ya sea un bootkit, malware o algo similar, los agentes de amenazas obtienen una ventaja considerable. Las herramientas de libre acceso les brindan la oportunidad de mejorar y adaptar sus conjuntos de herramientas con menos esfuerzo y menos posibilidades de ser detectados”, comenta Igor Kuznetsov, investigador principal de seguridad en GReAT de Kaspersky.
