2022-07-29 17:00:14
В материнских платах Gigabyte и Asus обнаружен загадочный UEFI-руткит
Исследователи обнаружили новую версию UEFI -руткита CosmicStrand. Впервые вредонос был обнаружен китайской компанией Qihoo360 в 2017 году. Руткит находится в образах прошивок материнских плат Gigabyte и Asus, использующих чипсет H81 и долго оставался незамеченным. От руткита пострадали граждане Китая, Вьетнама, Ирана и России.
Цель вредоноса – вмешаться в процесс загрузки ОС и установить имплант в ядре Windows, который будет загружаться каждый раз вместе с запуском ОС. После этого в память внедряется шеллкод, соединяющийся с C&C-сервером для получения и запуска вредоносной полезной нагрузки на устройстве жертвы.
Вредонос получает полезную нагрузку в несколько шагов:
- Отправляется специально созданный UDP или TCP пакет на C&C-сервер (update.bokts[.]com);
- C&C-сервер отвечает, отправляя на устройство жертвы один или несколько пакетов, содержащие 528 байт данных;
- После этого пакеты с данными собираются в правильной последовательности и попают в пространство ядра.
93 views14:00