Китайская APT-группа используют новый сложный UEFI-руткит CosmicStrand

Екатерина Быстрова 25 Июля 2022 - 21:04

...

Китайская APT-группа используют новый сложный UEFI-руткит CosmicStrand

Неизвестная киберпреступная группировка, участники которой говорят на китайском языке, использует в атаках сложный UEFI-руткит, получивший имя CosmicStrand. На активность злоумышленников обратили внимание в «Лаборатории Касперского».

«Обнаруженный руткит располагается в прошивке материнских плат Gigabyte и ASUS. Мы отметили, что все образы связаны с чипсетом H81», — пишут эксперты Kaspersky в отчете.

«Вполне возможно, что там существует некая стандартная уязвимость, позволяющая атакующим встраивать руткит в образ прошивки».

Среди жертв APT-группировки есть граждане Китая, Вьетнама, Ирана и России. Интересно, что у этих людей нет прямой связи с какой-либо серьезной организацией или отраслью. Схожесть кода CosmicStrand и ботнетов MyKings и MoonBounce позволила исследователям заключить, что за атаками нового руткита стоит китайская группа.

Кстати, стоит отметить, что CosmicStrand, который представляет собой файл весом 96,84 КБ, — уже второй UEFI-руткит, зафиксированный в 2022 году. Первым стал MoonBounce, отличающийся своей сложностью, поскольку его нельзя удалить даже заменой жёсткого диска. Есть информация, что MoonBounce участвовал в целевых атаках кибершпионов из группировки APT41 (она же Winnti).

Задача операторов CosmicStrand — вмешаться в процесс загрузки ОС и развернуть на уровне ядра имплантат, который будет загружаться с каждым стартом системы Windows. Такой подход используется для запуска шеллкода, соединяющегося с удаленным сервером для копирования и выполнения ещё одной вредоносной нагрузки.

Точное назначение последнего пейлоада остается загадкой, однако известно, что он извлекается по адресу update.bokts[.]com в виде ряда пакетов с 528 байтами данных. Kaspersky нашла в общей сложности две версии руткита, одна из которых использовалась с конца 2016 года по середину 2017-го. Второй вариант вредоноса активничал в 2020 году.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 22 Января 2026 - 13:31

Kaspersky Unified Monitoring and Analysis Platform (KUMA) Корпорации Системы мониторинга событий безопасности SIEM-системы Лаборатория Касперского

KUMA 4.2 получила ИИ для выявления компрометации учётных данных

«Лаборатория Касперского» выпустила обновление своей SIEM-платформы Kaspersky Unified Monitoring and Analysis Platform (KUMA) — версия 4.2 получила сразу несколько заметных доработок. Главная из них — использование машинного обучения для выявления признаков компрометации учётных записей.

Новая ИИ-функциональность анализирует поведение пользователей и ищет аномалии, сравнивая текущую активность с привычным историческим профилем.

Если система замечает подозрительные отклонения, специалисты по ИБ получают уведомление о возможной краже или компрометации учётных данных. Такой подход позволяет реагировать на инциденты на более раннем этапе, ещё до того, как атака разовьётся.

В обновлении также появилась более гибкая ролевая модель. Теперь в KUMA можно создавать, дублировать и настраивать роли под конкретные бизнес-процессы и организационную структуру компании. Это упрощает управление доступами и помогает точнее распределять права между командами.

Отдельного внимания заслуживает коррелятор 2.0, который пока доступен в бета-версии. Он стал отказоустойчивым, масштабируемым по горизонтали и, по заявлению разработчиков, обеспечивает прирост производительности примерно в пять раз при одновременном снижении требований к инфраструктуре.

Ещё одно практичное нововведение — резервное копирование данных о событиях. В версии 4.2 можно выгружать информацию в защищённые, неизменяемые архивы. Это упрощает расследование инцидентов, проведение аудитов и выполнение регуляторных требований.

Наконец, в KUMA появилась возможность запускать длительные поисковые запросы в фоновом режиме. Это особенно удобно при разборе сложных инцидентов, когда нужно анализировать события за большой период времени, не останавливая текущую работу в системе.

По словам руководителя направления развития единой корпоративной платформы «Лаборатории Касперского» Ильи Маркелова, спрос на SIEM-системы продолжает расти, особенно среди компаний, которые выстраивают собственные SOC. В компании подчёркивают, что развитие KUMA идёт в сторону автоматизации и снижения нагрузки на специалистов, чтобы они могли сосредоточиться на анализе сложных атак и профилактике инцидентов, а не на рутинных операциях.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »