Некоторые материнские платы содержат дыры, позволяющие установить руткит

Некоторые материнские платы содержат дыры, позволяющие установить руткит

Алекс Матросов (Alex Matrosov), исследователь из Cylance, обнаружил несколько уязвимостей в материнских платах некоторых производителей, внедривших прошивку Intel UEFI BIOS в свои продукты. Эти бреши позволяют обойти защиту BIOS (например, Intel Boot Guard и Intel BIOS) и установить руткит.

В общей сложности Матросов обнаружил шесть уязвимостей в четырех материнских платах, которые он тестировал:

  • ASUS Vivo Mini - CVE-2017-11315
  • Lenovo ThinkCentre systems - CVE-2017-3753
  • MSI Cubi2 - CVE-2017-11312 and CVE-2017-11316
  • Gigabyte BRIX series - CVE-2017-11313 and CVE-2017-11314

Тестированные исследователем материнские платы были на базе AMI Aptio UEFI BIOS, популярного пакета прошивки BIOS UEFI, также используемого другими OEM-производителями материнских плат, такими как MSI, Asus, Acer, Dell, HP и ASRock.

«Некоторые производители не поддерживают защиту, предлагаемую современным оборудованием, что делает их легкими мишенями для злоумышленников, поскольку у них нет активной защиты памяти на аппаратном уровне», - объяснил Матросов.

Матросов говорит, что злоумышленник может использовать эти уязвимости для повышения привилегий, обхода защиты BIOS и установки руткитов в современной операционной системе, например, в Windows 10.

Вчера Александр Ермолов, эксперт Embedi, опубликовал новое исследование, основанное на первоначальной работе Матросова. В нем эксперту удается обойти систему защиты Intel Boot Guard на материнской плате Gigabyte GA-H170-D3H, что доказывает наличие серьезно проблемы безопасности.

Однако Матросов утверждает, что есть и положительный момент - производители материнских плат, в том числе AMI, выпустили обновления прошивки BIOS UEFI для устранения обнаруженных им недостатков.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru