نماد سایت اتاق خبر شبکه گستر

MosaicRegressor؛ روت‌کیتی دیگر، مبتنی بر UEFI

روابط عمومی

محققان کسپرسکی جزییات روت‌کیتی مبتنی بر Unified Extensible Firmware Interface – به اختصار UEFI – را منتشر کردند که در جریان بررسی حملات اجرا شده در سال میلادی گذشته بر ضد دو سازمان موفق به کشف آن شده‌اند.

این نوع بدافزارها با رخنه در ماژول حافظه Serial Peripheral Interface – به اختصار SPI – نه تنها در صورت تغییر سیستم عامل ماندگار می‌ماند که حتی جایگزینی دیسک سخت نیز تأثیری در حضور این بدافزار نخواهد داشت.

به گزارش شرکت مهندسی شبکه گستر، این بوت‌کیت UEFI که محققان کسپرسکی آن را MosaicRegressor نامگذاری کرده‌اند یک بستر مبتنی بر ماژول (Modular) و چندمرحله‌ای است که به گفته این شرکت توسط هکرهای چینی‌زبان در عملیات‌های جاسوسی و سرقت داده‌ها مورد استفاده قرار گرفته بوده است.

در MosaicRegressor مهاجمان با تزریق چندین ماژول مخرب اقدام به دستکاری ثابت‌افزار UEFI و بهره‌گیری از آن برای توزیع بدافزار بر روی دستگاه‌های مقصد می‌کردند.

MosaicRegressor مجهز به چند دریافت‌کننده (Downloader) و اجراکننده (Loader) واسطی است که امکان دریافت و اجرای کدهای مخرب بر روی دستگاه قربانی را برای مهاجمان فراهم می‌کنند. بستر چند ماژولی MosaicRegressor ضمن دشوار کردن تحلیل، مهاجمان را قادر به استفاده از امکانات مختلف بسته به شرایط بر روی ماشین‌های مقصد می‌کند.

محققان کسپرسکی نیز در بررسی‌های خود به تعداد محدودی از این کدها دست یافته‌اند. یکی از این کدها توسط نسخه‌ای از بوت‌کیت با نام BitsRegEx برای سرقت، آرشیو کردن و استخراج اطلاعات در پوشه موسوم به Recent Documents مورد استفاده قرار گرفته است. این روت‌کیت UEFI نسخه‌ای سفارشی از بوت‌کیت VectorEDK متعلق به شرکت ایتالیایی Hacking Team است که در سال 1394 افشا شده بود.

در فاصله سال‌های 2017 تا 2019، نمونه‌هایی از MosaicRegressor بر روی کامپیوترهای چندین سازمان غیرانتفاعی و نهاد دیپلماتیک در آفریقا، آسیا و اروپا فعال بوده.

محققان کسپرسکی معتقدند که همگی قربانیان به نحوی با جمهوری دموکراتیک خلق کره یا همان کره شمالی در ارتباط بوده‌اند.

کسپرسکی اعلام کرده که موفق به پیدا کردن روش اصلی آلودگی که منجر به رونویسی ثابت‌افزار UEFI می‌شده نگردیده است. یکی از احتمالات مطرح شده از سوی کسپرسکی دسترسی فیزیکی مهاجمان به ماشین‌های هدف و بالا آوردن آن از طریق یک حافظه USB Flash برای تزریق کد آلوده بوده است.

احتمال مطرح شده دیگر نصب از راه دور بوت‌کیت با بهره‌جویی (BIOS) از آسیب‌پذیری‌های BIOS است.

در گزارش کسپرسکی به چهار درهم ساز (Hash) ماژول این روت کیت اشاره شده که توسط ضدویروس مک آفی با نام های زیر شناسایی می شوند:

 

F5B320F7E87CC6F9D02E28350BB87DE6 و (SmmInterfaceBase)RDN/Generic.dx
0C136186858FD36080A7066657DE81F5 و (SmmAccessSub)RDN/Generic.dx
91A473D3711C28C3C563284DFAFE926B و (SmmReset)Rootkit-MosaicRegressor
DD8D3718197A10097CD72A94ED223238 و (Ntfs)RDN/Generic.dx

 

دو سال قبل نیز شرکت ای‌ست جزییات بوت‌کیت دیگری با نام LoJax را به‌صورت عمومی منتشر کرده بود. گروه روسی‌زبان APT28 بوت‌کیت LoJax را در کنار نرم‌افزار معتبر ضدسرقت LoJack در قالب ماژول‌های UEFI اصلاح شده به اهداف خود تزریق می‌کردند.

پیش از آن و در سال 1395 هم سایت افشاگر WikiLeaks اقدام به انتشار اسنادی سری کرد که در آنها ابزارهای مورد استفاده در عملیات‌های سایبری سازمان اطلاعات مرکزی آمریکا تشریح شده بودند. برخی از این اسناد نشان می‌داد که این سازمان با بهره‌جویی از آسیب‌پذیری‌هایی روز صفر، کد مخرب را مستقیماً به ثابت‌افزار دستگاه‌ها از جمله  UEFI تزریق می‌کرده است. در پی درز اسناد مذکور در آن سال، شرکت مک‌آفی راهکاری را برای پویش UEFI دستگاه به‌منظور بررسی وجود کد مخرب بر روی آن منتشر کرد.

مشروح گزارش کسپرسکی در خصوص MosaicRegressor در لینک زیر قابل دریافت و مطالعه است:

https://securelist.com/mosaicregressor/98849/

نشانه‌های آلودگی (IoC) بوت‌کیت MosaicRegressor به شرح زیر است:

درهم‌ساز

F5B320F7E87CC6F9D02E28350BB87DE6
0C136186858FD36080A7066657DE81F5
91A473D3711C28C3C563284DFAFE926B
DD8D3718197A10097CD72A94ED223238
0EFB785C75C3030C438698C77F6E960E
12B5FED367DB92475B071B6D622E44CD
3B3BC0A2772641D2FC2E7CBC6DDA33EC
3B58E122D9E17121416B146DAAB4DB9D
70DEF87D180616406E010051ED773749
7908B9935479081A6E0F681CCEF2FDD9
AE66ED2276336668E793B167B6950040
B23E1FE87AE049F46180091D643C0201
CFB072D1B50425FF162F02846ED263F9
0D386EBBA1CCF1758A19FB0B25451AFE
233B300A58D5236C355AFD373DABC48B
449BE89F939F5F909734C0E74A0B9751
67CF741E627986E97293A8F38DE492A7
6E949601EBDD5D50707C0AF7D3F3C7A5
92F6C00DA977110200B5A3359F5E1462
A69205984849744C39CFB421D8E97B1F
D197648A3FB0D8FF6318DB922552E49E
B53880397D331C6FE3493A9EF81CD76E
AFC09DEB7B205EADAE4268F954444984
DC14EE862DDA3BCC0D2445FDCB3EE5AE
88750B4A3C5E80FD82CF0DD534903FC0
C63D3C25ABD49EE131004E6401AF856C
D273CD2B96E78DEF437D9C1E37155E00
72C514C0B96E3A31F6F1A85D8F28403C
9E182D30B070BB14A8922CFF4837B94D
61B4E0B1F14D93D7B176981964388291
3D2835C35BA789BD86620F98CBFBF08B
328AD6468F6EDB80B3ABF97AC39A0721
7B213A6CE7AB30A62E84D81D455B4DEA
E2F4914E38BB632E975CFF14C39D8DCD
08ECD8068617C86D7E3A3E810B106DCE
1732357D3A0081A87D56EE1AE8B4D205
74DB88B890054259D2F16FF22C79144D
7C3C4C4E7273C10DBBAB628F6B2336D8
89527F932188BD73572E2974F4344D46
36B51D2C0D8F48A7DC834F4B9E477238
1C5377A54CBAA1B86279F63EE226B1DF
9F13636D5861066835ED5A79819AAC28
FA0A874926453E452E3B6CED045D2206

مسیرهای فایل

%APPDATA%\Microsoft\Credentials\MSI36C2.dat
%APPDATA%\Microsoft\Internet Explorer\%Computername%.dat
%APPDATA%\Microsoft\Internet Explorer\FileA.dll
%APPDATA%\Microsoft\Internet Explorer\FileB.dll
%APPDATA%\Microsoft\Internet Explorer\FileC.dll
%APPDATA%\Microsoft\Internet Explorer\FileD.dll
%APPDATA%\Microsoft\Internet Explorer\FileOutA.dat
%APPDATA%\Microsoft\Network\DFileA.dll
%APPDATA%\Microsoft\Network\DFileC.dll
%APPDATA%\Microsoft\Network\DFileD.dll
%APPDATA%\Microsoft\Network\subst.sep
%APPDATA%\Microsoft\WebA.dll
%APPDATA%\Microsoft\WebB.dll
%APPDATA%\Microsoft\WebC.dll
%APPDATA%\Microsoft\Windows\LnkClass.dat
%APPDATA%\Microsoft\Windows\SendTo\cryptui.sep
%APPDATA%\Microsoft\Windows\SendTo\load.dll %APPDATA%\Microsoft\Windows\load.rem
%APPDATA%\Microsoft\Windows\mapisp.dll
%APPDATA%\Microsoft\exitUI.rs
%APPDATA%\Microsoft\sppsvc.tbl
%APPDATA%\Microsoft\subst.tbl
%APPDATA%\newplgs.dll
%APPDATA%\rfvtgb.dll
%APPDATA%\sdfcvb.dll
%APPDATA%\msreg.dll
%APPDATA\Microsoft\dfsadu.dll
%COMMON_APPDATA%\Microsoft\Windows\user.rem
%TEMP%\BeFileA.dll
%TEMP%\BeFileC.dll
%TEMP%\RepairA.dll
%TEMP%\RepairB.dll
%TEMP%\RepairC.dll
%TEMP%\RepairD.dll
%TEMP%\wrtreg_32.dll
%TEMP%\wrtreg_64.dll
%appdata%\dwhost.exe
%appdata%\msreg.exe
%appdata%\return.exe
%appdata%\winword.exe

دامنه و نشانی‌های IP

menjitghyukl.myfirewall[.]org
103.195.150[.]106
103.229.1[.]26
103.243.24[.]171
103.243.26[.]211
103.30.40[.]116
103.30.40[.]39
103.39.109[.]239
103.39.109[.]252
103.39.110[.]193
103.56.115[.]69
103.82.52[.]18
117.18.4[.]6
144.48.241[.]167
144.48.241[.]32
150.129.81[.]21
43.252.228[.]179
43.252.228[.]252
43.252.228[.]75
43.252.228[.]84
43.252.230[.]180
43.252.230[.]173
185.216.117[.]91
103.215.82[.]161
103.96.72[.]148
122.10.82[.]30

خروج از نسخه موبایل