Hacker setzen derzeit auf ein UEFI-Bootkit, um Computer mit zusätzlicher Schadsoftware zu infizieren. Nach Angaben des Sicherheitsanbieters Kaspersky ist es erst die zweite dokumentierte Kampagne, bei der ein UEFI-Bootkit zum Einsatz kommt. Ziel sind Nichtregierungsorganisationen (NGO) in Europa, Afrika und Asien.
Kaspersky-Forscher wurden auf die Angriffe aufmerksam, nachdem der hauseigene Firmware-Scanner zwei Computer als verdächtig eingestuft hatte. Bei der Untersuchung der fraglichen Systeme fanden sie Schadcode innerhalb der UEFI-Firmware. Der Code hatte die Aufgabe, eine schädliche App zu installieren um bei jedem Start des Computers auszuführen.
Alle Komponenten der als Mosaic Regressor bezeichneten App konnten laut Kaspersky noch nicht vollständig analysiert werden. Sie konnten unter anderem nachweisen, dass die Malware die kürzlich verwendeten Dokumente auslesen und in einem passwortgeschützten Archive ablegen kann, wahrscheinlich, um sie für einen spätere Übermittlung mithilfe einer weiteren Komponente vorzubereiten.
Die Hintermänner beschreibt Kaspersky als Chinesisch sprechende Hacker. Die Auswahl der Opfer soll zudem eine Verbindung zur Regierung Nordkoreas nahelegen.
Die Forscher fanden außerdem eine Verbindung zu HackingTeam, dem ehemaligen italienischen Anbieter von Hacking-Werkzeugen. Der Code des UEFI-Bootkits soll auf dem Code von VectorEDK basieren, einem UEFI-Tool aus dem Portfolio von HackingTeam.
Das Unternehmen wurde 2015 selbst das Opfer eines Hackerangriffs. Seine Produkte, darunter auch VectorEDK, wurden im Internet veröffentlicht. So geht aus dessen Anleitung hervor, dass es einen physischen Zugang zu einem Computer benötigt. Aufgrund der Übereinstimmungen im Code des Bootkits und des HackingTeam-Tools geht Kaspersky davon aus, dass auch mutmaßlich aus China stammenden Hacker einen physischen Zugang zu den Computern ihrer Opfer hatten.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…