Malware UEFI Bootkit MosaicRegressor Baru Telah Ditemukan Aktif 

New 'MosaicRegressor' UEFI Bootkit Malware Found Active in the Wild

Peneliti keamanan siber telah menemukan jenis malware berpotensi berbahaya langka yang menargetkan proses booting mesin untuk menjatuhkan malware yang persisten.

Kampanye tersebut melibatkan penggunaan UEFI yang dikompromikan (atau Antarmuka Firmware yang Dapat Diperluas Terpadu) yang berisi implan berbahaya, menjadikannya kasus publik kedua yang diketahui di mana rootkit UEFI telah digunakan di alam liar.

Menurut Kaspersky, gambar firmware UEFI nakal telah dimodifikasi untuk memasukkan beberapa modul berbahaya, yang kemudian digunakan untuk menjatuhkan malware ke mesin korban dalam serangkaian serangan siber yang ditargetkan yang ditujukan kepada diplomat dan anggota LSM dari Afrika, Asia, dan Eropa.

Menyebut kerangka malware "MosaicRegressor," peneliti Kaspersky Mark Lechtik, Igor Kuznetsov, dan Yury Parshin mengatakan analisis telemetri mengungkapkan beberapa lusin korban antara tahun 2017 dan 2019, yang semuanya memiliki hubungan dengan Korea Utara.

UEFI adalah antarmuka firmware dan pengganti BIOS yang meningkatkan keamanan, memastikan bahwa tidak ada malware yang merusak proses boot. Karena UEFI memfasilitasi pemuatan sistem operasi itu sendiri, infeksi semacam itu resisten terhadap penginstalan ulang OS atau penggantian hard drive.

"Firmware UEFI membuat mekanisme sempurna untuk penyimpanan malware yang persisten," kata Kaspersky. "Penyerang yang canggih dapat memodifikasi firmware agar dapat menyebarkan kode berbahaya yang akan dijalankan setelah sistem operasi dimuat."

Itulah yang tampaknya dilakukan oleh aktor ancaman ini. Meskipun vektor infeksi persis yang digunakan untuk menimpa firmware asli tetap tidak diketahui pada tahap ini, manual yang bocor menunjukkan malware mungkin telah disebarkan melalui akses fisik ke mesin korban (Virtual Machine).

Malware UEFI baru adalah versi khusus dari bootkit VectorEDK Tim Peretasan, yang bocor pada tahun 2015 dan sejak itu tersedia secara online. Ini digunakan untuk menanam muatan kedua, yang disebut MosaicRegressor - "kerangka kerja multi-tahap dan modular yang ditujukan untuk spionase dan pengumpulan data" yang terdiri dari pengunduh tambahan untuk mengambil dan menjalankan komponen sekunder.

Pengunduh, pada gilirannya, menghubungi server command-and-control (C2) untuk mengambil DLL tahap berikutnya untuk menjalankan perintah tertentu, yang hasilnya diekspor kembali ke server C2 atau diteruskan ke alamat email "umpan balik" dari mana penyerang dapat mengumpulkan data yang terkumpul.

Muatan ditransfer dengan berbagai cara, termasuk melalui pesan email dari kotak surat ("mail.ru") yang di-hardcode dalam biner malware.

Namun, dalam beberapa kasus, malware tersebut dikirim ke beberapa korban melalui email spear-phishing dengan dokumen umpan tertanam ("0612.doc") yang ditulis dalam bahasa Rusia yang dimaksudkan untuk membahas peristiwa yang berkaitan dengan Korea Utara.

Berkenaan dengan identitas aktor ancaman di balik MosaicRegressor, Kaspersky mengatakan menemukan beberapa petunjuk tingkat kode yang menunjukkan bahwa mereka ditulis dalam bahasa Cina atau Korea dan mencatat penggunaan senjata RTF Royal Road (8.t), yang telah dikaitkan dengan beberapa kelompok ancaman Tiongkok di masa lalu.