Китайская APT-группа используют новый сложный UEFI-руткит CosmicStrand
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Китайская APT-группа используют новый сложный UEFI-руткит CosmicStrand

Екатерина Быстрова 25 Июля 2022 - 21:04
...
Китайская APT-группа используют новый сложный UEFI-руткит CosmicStrand

Неизвестная киберпреступная группировка, участники которой говорят на китайском языке, использует в атаках сложный UEFI-руткит, получивший имя CosmicStrand. На активность злоумышленников обратили внимание в «Лаборатории Касперского».

«Обнаруженный руткит располагается в прошивке материнских плат Gigabyte и ASUS. Мы отметили, что все образы связаны с чипсетом H81», — пишут эксперты Kaspersky в отчете.

«Вполне возможно, что там существует некая стандартная уязвимость, позволяющая атакующим встраивать руткит в образ прошивки».

Среди жертв APT-группировки есть граждане Китая, Вьетнама, Ирана и России. Интересно, что у этих людей нет прямой связи с какой-либо серьезной организацией или отраслью. Схожесть кода CosmicStrand и ботнетов MyKings и MoonBounce позволила исследователям заключить, что за атаками нового руткита стоит китайская группа.

Кстати, стоит отметить, что CosmicStrand, который представляет собой файл весом 96,84 КБ, — уже второй UEFI-руткит, зафиксированный в 2022 году. Первым стал MoonBounce, отличающийся своей сложностью, поскольку его нельзя удалить даже заменой жёсткого диска. Есть информация, что MoonBounce участвовал в целевых атаках кибершпионов из группировки APT41 (она же Winnti).

 

Задача операторов CosmicStrand — вмешаться в процесс загрузки ОС и развернуть на уровне ядра имплантат, который будет загружаться с каждым стартом системы Windows. Такой подход используется для запуска шеллкода, соединяющегося с удаленным сервером для копирования и выполнения ещё одной вредоносной нагрузки.

Точное назначение последнего пейлоада остается загадкой, однако известно, что он извлекается по адресу update.bokts[.]com в виде ряда пакетов с 528 байтами данных. Kaspersky нашла в общей сложности две версии руткита, одна из которых использовалась с конца 2016 года по середину 2017-го. Второй вариант вредоноса активничал в 2020 году.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В части российских компаний обнаружили переизбыток ИБ-решений
Яков Шпунт 18 Ноября 2025 - 20:38
Соответствие законодательству РФ Малый и средний бизнесКорпорации Соответствие требованиям регуляторов
В части российских компаний обнаружили переизбыток ИБ-решений

Согласно опросу, проведённому Контур.Эгида и Staffcop, в 29% российских компаний до 30% бюджета на информационную безопасность расходуется впустую. В исследовании приняли участие около 1200 специалистов, среди которых руководители ИТ- и ИБ-подразделений, топ-менеджеры и владельцы бизнеса.

Авторы опроса отмечают, что значительная часть организаций сталкивается с переизбытком ИБ-решений.

Помимо неэффективного расходования средств, такое перенасыщение приводит к целому ряду проблем: замедлению реакции на инциденты, повышенной нагрузке на инфраструктуру и конфликтам между системами.

Более половины респондентов (54%) признали, что реорганизация ИБ-ландшафта чаще всего происходит только после серьёзного инцидента, например кибератаки. Ещё 39% назвали причиной для пересмотра подходов штрафы от регуляторов.

Среди проблем, возникающих из-за избыточного числа ИБ-систем, участники опроса указали:

  • снижение скорости реакции систем — 40%;
  • потерю важной информации среди многочисленных уведомлений — 35%;
  • вынужденное переключение между разными интерфейсами — 30%;
  • повышение нагрузки на ИТ-инфраструктуру — 29%;
  • дублирование информации об инцидентах — 25%;
  • необходимость ручной обработки данных — 21%;
  • конфликты между системами — 18%.

Почти треть участников признала, что 21–30% их ИБ-бюджета расходуется неэффективно. Треть компаний планирует сократить количество применяемых систем и оптимизировать затраты. При этом основными препятствиями для сокращения числа решений респонденты назвали их влияние на большое количество бизнес-процессов (35%), длительные контракты с поставщиками (24%) и нехватку специалистов (19%).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
СберЛизинг открыл программу по поиску уязвимостей
Новость
СберЛизинг открыл программу по поиску уязвимостей
Общение с ChatGPT довело параноика до убийства и суицида
Новость
Общение с ChatGPT довело параноика до убийства и суицида
Поведенческие атаки на медсектор в августе выросли почти на треть
Новость
Поведенческие атаки на медсектор в августе выросли почти на...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.