sitename
СМИ: за взломом сайтов REvil стояли правоохранительные органы - «Новости»
СМИ: за взломом сайтов REvil стояли правоохранительные органы - «Новости»
Хак-группа FIN7 создала фейковую компанию для поиска и обмана ИБ-специалистов - «Новости»
Хак-группа FIN7 создала фейковую компанию для поиска и обмана ИБ-специалистов - «Новости»
Эксперты назвали RedLine Stealer основным источником учетных данных на двух маркетплейсах - «Новости»
Эксперты назвали RedLine Stealer основным источником учетных данных на двух маркетплейсах - «Новости»
Группировка Evil Corp использует для вымогательских атак новую малварь Macaw - «Новости»
Группировка Evil Corp использует для вымогательских атак новую малварь Macaw - «Новости»
CISA: в выходные GPS-девайсы могут повести себя непредсказуемо из-за бага в GPS Daemon - «Новости»
CISA: в выходные GPS-девайсы могут повести себя непредсказуемо из-за бага в GPS Daemon - «Новости»
Илон Маск: корабль Starship будет готов к первому орбитальному полёту уже в ноябре - «Новости сети»
Илон Маск: корабль Starship будет готов к первому орбитальному полёту уже в ноябре - «Новости сети»
Раскрыты ориентировочные цены на видеокарты Intel Arc: 650–825 долларов - «Новости сети»
Раскрыты ориентировочные цены на видеокарты Intel Arc: 650–825 долларов - «Новости сети»
Майнинговый процессор NVIDIA CMP 170HX поступил в продажу за $4300 - «Новости сети»
Майнинговый процессор NVIDIA CMP 170HX поступил в продажу за $4300 - «Новости сети»
Последний гвоздь: Китай внёс добычу криптовалюты в список отраслей для ликвидации - «Новости сети»
Последний гвоздь: Китай внёс добычу криптовалюты в список отраслей для ликвидации - «Новости сети»
Страна сильных традиций: в столице Японии документооборот продолжается на 3,5-дюймовых дискетах - «Новости сети»
Страна сильных традиций: в столице Японии документооборот продолжается на 3,5-дюймовых дискетах - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Эксперты обнаружили еще один UEFI-буткит - «Новости»

Специалисты компании ESET рассказали о ранее неизвестном UEFI-бутките ESPecter, который использовался для целевых атак и шпионажа. Пока эксперты не связывают ESPecter с каким-либо конкретными хак-группами или странами.


Атаки на UEFI – это настоящий Святой Грааль для хакеров. Ведь UEFI загружается до операционной системы и контролирует все процессы на «раннем старте». Отсюда и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, можно получить полный контроль над компьютером. Например, изменить память, содержание диска или заставить операционную систему запустить вредоносный файл. Поскольку речь идет о низкоуровневой малвари, избавиться от нее с помощью замены жесткого диска или переустановки ОС не выйдет.


Первый буткит для UEFI, LoJax, был обнаружен специалистами компании ESET в 2018 году. Тогда исследователи пришли к выводу, что он был делом рук русскоязычной «правительственной» хак-группы Fancy Bear.


После этого UEFI-буткиты находили уже не раз, и последней такой случай был описан на прошлой неделе: эксперты «Лаборатории Касперского» рассказали об инструментах китайской кибершпионской группировки GhostEmperor.


Теперь список UEFI-буткитов пополнился еще одним пунктом, вредоносом ESPecter. Эксперты ESET рассказывают, что первые атаки с использованием этой малвари были обнаружены еще в 2012 году. Однако тогда ESPecter не использовался как буткит для UEFI, его первоначальным предназначением были атаки на системы с BIOS. Лишь в 2020 году авторы малвари обновили код, и переключились на атаки на UEFI.


«Интересно то, что компоненты вредоносного ПО практически не изменились за все эти годы, а различия между версиями 2012 и 2020 не так значительны, как можно было бы ожидать», — гласит отчет ESET.


Исследователи до сих пор не знают, как именно начинаются атаки этих неизвестных злоумышленников. Неясно, получают ли они физический доступ к целевым системам или используют классический фишинг для развертывания ESPecter в сети жертвы.


Зато известно, что после начала процесса установки начальные компоненты ESPecter изменяют компонент Windows Boot Manager и обходят Windows Driver Signature Enforcement (DSE), чтобы загрузить и запустить неподписанный вредоносный драйвер — фактическую полезную нагрузку буткита ESPecter.





Сообщается, что хакеры обычно применяют ESPecter для развертывания другой малвари и стремясь закрепиться в системе, чтобы «пережить» переустановку ОС. Малварь, обнаруженная в таких атаках, включает троян-бэкдор, который злоумышленники использовали для поиска конфиденциальных файлов в локальной системе, периодического создания скриншотов и запуска кейлоггера.


Аналитики ESET отмечают, что ESPecter — это второй известный буткит для UEFI, который использует EFI System Partition (ESP) в качестве точки входа. Первой малварью такого рода был недавно обнаруженный «Лабораторией Касперского» буткит, входящий в состав инструментария FinSpy. Дело в том, что другие UEFI-буткиты обычно используют флэш-память UEFI SPI.

CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через: