危险的涓涓细流发展为目标UEFI / BIOS固件
Trickbot中发现的新功能使恶意演员能够检查目标系统的UEFI / BIOS固件,以众所周知的,未被匹配的漏洞,如果已被剥削,将使它们能够引起极其破坏性的,甚至破坏性的网络攻击。
根据Eclypsium的研究人员和先进的情报(AdvIntel),他已经描述了发展的发展 - 被称为Trickboot - 作为组织和国家安全的危急风险。
“我们的研究发现了对固件漏洞进行侦察的娱乐性,”在披露公告中写了研究团队。“此活动设置TrickBot运算符的阶段,以执行更加积极的措施,例如安装固件植入物和后门,或者对目标设备的销毁。
“威胁演员非常可能已经利用这些漏洞对抗高价值目标。在检测到它们之前,相似的联合国威胁已经消失了。实际上,这正是他们对攻击者的价值。“
Trickboot尤其危险,因为与类似的攻击一样,颠覆引导过程,允许攻击者对系统的操作系统进行控制并建立持续的持久性。
更具体地说,如果该过程通过写入启动过程的SPI闪存芯片,可恶意演员可以:通过远程恶意软件或勒索软件广告系列砖块固件级别的设备;重新加入经过系统恢复的设备;旁路或禁用操作系统和软件依赖的安全控制;连锁其他设备组件的漏洞;并回滚固件更新修补以前的漏洞。
新的能力是涓涓细流演变的重要一步,并大规模增加它姿势的危险。该团队表示,鉴于俄罗斯和朝鲜的Trickbot工具集和主动高级持久威胁(APT)组之间的链接 - 可能甚至是政府支持的团体 - 以及过去的使用,以打击教育,金融服务,医疗保健等部门,电信和其他关键的国家基础设施,捍卫者应该高度警报,因为大多数人都不会加工以减轻这种威胁。
“利用icricBot的对手现在有一个自动手段,了解他们的哪些受害者主持人容易受到UEFI漏洞的影响,就像他们在2017年的工具,以利用EternalBlue和Eternallomance漏洞,”研究人员写道。“安全团队应该采取行动来减轻这种风险。
“鉴于涓涓细刻的大小和范围,专门针对固件的模块的发现是令人不安的。这些威胁演员正在收集验证的目标,这些目标是易受固件修改的攻击,并且一行代码可以将该侦察模块更改为攻击功能。“
团队补充说:“与其他野外的固件攻击一样,TrickBot重复使用公共可用的代码,快速轻松地实现这些新的固件级功能。在地缘政治活动和全球大流行中的全球范围内的越来越多的生活中,涓涓细流正在挖掘往往被忽视的固件的隐藏区域。
“这呈现出比以往任何时候都更大的风险,因为先前带来了高度破坏性赎金软件的TrickBot的规模,现在为许多可能对此类技术毫不准备的更多组织带来固件攻击。”