按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

資安廠商發現第二個以 UEFI 為攻擊目標的惡意軟體

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-10-08
  • 點閱次數:3567
資安廠商發現第二個以 UEFI 為攻擊目標的惡意軟體 TWCERT/CC

資安廠商日前發現第二個以 UEFI 為攻擊目標的惡意軟體 MosaicRegressor,被駭侵團體用來攻擊亞洲、歐洲和非洲各國的外交單位。

俄羅斯資安廠商卡巴斯基日前發表研究報告,指出該公司的研究人員發現第二個以 UEFI 為攻擊目標的惡意軟體,並將其命名為 MosaicRegressor。這個惡意軟體被駭侵團體用來攻擊亞洲、歐洲和非洲各國的外交單位。

UEFI 是 Unified Extensible Firmware Interface 的縮寫,儲存在電腦主機板上的 Flash 記憶體中,是電腦開機時最先執行的軟體程式;其功能為在載入作業系統之前,預先設定好電腦上的所有硬體裝置,因此非常重要。

駭侵者如果能成功在 UEFI 中注入惡意程式碼,不但難以自作業系統中將之清除,甚至還可以做到清除掉整個受害電腦作業系統、格式化任何儲存裝置。

卡巴斯基指出,要發動 UEFI 攻擊有一定的難度;駭侵者必須能夠實體存取受害電腦,或是透過複雜的供應鏈攻擊來進行。

根據卡巴斯基的資料,MosaicRegressor 的攻擊活動記錄約自 2017 到 2019 年之間,主要的攻擊對象為亞、歐、非各國的外交單位或非政府組織;其中有兩台電腦每次重新開機後都會自動再次安裝惡意軟體,顯示其 UEFI 已遭注入惡意程式碼。

目前卡巴斯基還無法解釋整個攻擊的流程。

最早發現的 UEFI 攻擊惡意軟體係在 2018 年,由另一家資安廠商 ESET 發現;當時是由俄羅斯支持的 APT 駭侵團體 Facny Bear 用來發展 Rootkit 攻擊工具,並發動多起攻擊行動。

回頁首