По мнению специалистов, руткит под названием CosmicStrand связан с китайской APT.
https://www.securitylab.ru/upload/ib...229759f2e2.png
Исследователи из Лаборатории Касперского обнаружили новую версию UEFI -руткита под названием CosmicStrand, который связан с неизвестной китайской группировкой. Впервые вредонос был обнаружен китайской компанией Qihoo360 в 2017 году.
Специалистам не удалось определить первоначальный вектор атаки, но анализ вредоносного кода показал, что руткит находится в образах прошивок материнских плат Gigabyte и Asus , использующих чипсет H81 и долго оставался незамеченным.
Согласно отчету , опубликованному экспертами, цель вредоноса – вмешаться в процесс загрузки ОС и установить имплант в ядре Windows , который будет загружаться каждый раз вместе с запуском ОС. После этого в память внедряется шеллкод, соединяющийся с C&C-сервером для получения и запуска вредоносной полезной нагрузки на устройстве жертвы.
Вредонос получает полезную нагрузку в несколько шагов:<ul><li>Отправляется специально созданный UDP или TCP пакет на C&amp;C-сервер (update.bokts[.]com);</li>
</ul><ul><li>C&amp;C-сервер отвечает, отправляя на устройство жертвы один или несколько пакетов, содержащие 528 байт данных;</li>
</ul><ul><li>После этого пакеты с данными собираются в правильной последовательности и попают в пространство ядра.</li>
</ul>https://lh4.googleusercontent.com/Y-...Oo1-Zy1awOHBjk
Иллюстрация работы CosmicStrand
Исследователям удалось выяснить, что от руткита пострадали граждане Китая, Вьетнама, Ирана и России, никак не связанные с какой-либо частной или правительственной организацией. Кроме этого, код CosmicStrand частично совпадает с кодом ботнета MyKings и UEFI-имплантом MoonBounce, из-за чего руткит приписывают китайским разработчикам.