MosaicRegressor

MosaicRegressor-Beschreibung

MosaicRegressor ist nur das zweite Mal, dass beobachtet wurde, dass das UEFI-Rootkit in freier Wildbahn bereitgestellt wird. UEFI steht für Unified Extensible Firmware Interface und ist ein wirklich wichtiges Ziel für Malware-Betreiber, da es auf einem SPI-Flash-Speicher (Serial Peripheral Interface Bus) installiert ist, der direkt auf das Motherboard des Computers gelötet wird. Infolgedessen erreicht jede Malware, die sie ausnutzt, eine enorme Persistenz auf dem gefährdeten System, da sie durch die Neuinstallation des Betriebssystems oder durch Änderungen an den Festplatten nicht geändert wird.

Der Name MosaicRegressor wurde diesem UEFI-Rootkit von den Forschern gegeben, die es zuerst entdeckten. Nach ihren Erkenntnissen wurde MosaicRegressor nicht von Grund auf neu gebaut. Stattdessen haben die Hacker den Code des VectorEDK-Bootkits von Hacking Team, das 2015 durchgesickert war, übernommen und stark modifiziert. Die Cyberkriminellen haben einen ziemlich komplexen Rahmen für die Aktivitäten des Rootkits geschaffen. Es enthält mehrere Downloader und mehrere Zwischenlader, bevor die endgültigen Nutzlastmodule auf dem gefährdeten System abgelegt werden. Die ausgeklügelte Struktur und die Tatsache, dass die beschädigten Module nur ausgeführt werden, wenn der entsprechende Befehl von den Hackern empfangen wird, bilden erhebliche Hindernisse für die Analyse des Rootkits. Trotzdem konnten Sicherheitsforscher feststellen, dass ein bestimmtes Modul für das Sammeln, Archivieren und anschließende Filtern von Daten im Ordner "Zuletzt verwendete Dokumente" verantwortlich war.

Die Opfer von MosaicRegressor teilen die nordkoreanische Verbindung

Entitäten aus verschiedenen Kontinenten scheinen unter den Opfern von MosaicRegressor zu sein. Das Rootkit wurde in den zwei Jahren zwischen 2017 und 2019 auf Computern mehrerer Nichtregierungsorganisationen (NRO) und diplomatischer Einrichtungen in Europa, Afrika und Asien gefunden. Der einzige rote Faden zwischen den Opfern, den die Cybersicherheitsforscher finden konnten ist ihr Standort in Nordkorea. Alle betroffenen Organisationen waren im Land präsent oder führten damit verbundene gemeinnützige Aktivitäten durch. Tatsächlich bestand einer der von den Hackern verwendeten Angriffsmethoden darin, vergiftete SFX-Dateien zu verteilen, die als Dokumente getarnt waren, in denen verschiedene nordkoreanische Themen behandelt wurden.