вредоносный, новый, blacklotus, windows

Угрожающий агент продает на хакерских форумах новый буткит UEFI под названием BlackLotus. вредоносный инструмент с возможностями, обычно связанными с угрожающими группами, поддерживаемыми государством.

Буткиты UEFI закладываются в прошивку системы и невидимы для программ безопасности, работающих в операционной системе, поскольку вредоносная программа загружается на начальном этапе загрузки.

Хотя киберпреступники, желающие получить лицензию на этот буткит для Windows, должны заплатить 5 000, агент угроз утверждает, что переделка обойдется им всего в 200.

Продавец утверждает, что BlackLotus имеет встроенную функцию обхода Secure Boot, встроенную защиту Ring0/Kernel от удаления и запускается в режиме восстановления или безопасном режиме.

BlackLotus утверждает, что он оснащен функциями антивиртуальной машины (анти-VM), антиотладки и обфускации кода для блокирования попыток анализа вредоносного ПО. Продавец также утверждает, что программы безопасности не могут обнаружить и уничтожить буткит, поскольку он запускается под учетной записью SYSTEM в рамках легитимного процесса.

Более того, этот крошечный буткит размером всего 80 кб на диске после установки может отключить встроенные средства защиты Windows, такие как Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обойти User Account Control (UAC).

«Само программное обеспечение и обход Secure Boot работают независимо от производителя. Уязвимый подписанный загрузчик используется для загрузки буткита, если используется Secure Boot». пояснил угрожающий актер, когда потенциальный «клиент» спросил, будет ли он работать с определенной прошивкой.

«Исправление этой уязвимости путем добавления ее в список отзыва UEFI в настоящее время невозможно, поскольку уязвимость затрагивает сотни загрузчиков, которые используются до сих пор».»

вредоносный, новый, blacklotus, windows

Угроза, продвигающая буткит BlackLotus на хакерском форуме (платформа KELA’s Dark Beast)

Вредоносное ПО уровня APT стало более доступным

Ведущий исследователь безопасности «Касперского» Сергей Ложкин также заметил рекламу BlackLotus на криминальных форумах и предупредил, что это значительный шаг, поскольку подобные возможности обычно были доступны только государственным хакерским группам.

«Раньше эти угрозы и технологии были доступны только тем, кто разрабатывал продвинутые постоянные угрозы, в основном правительствам». Теперь эти инструменты находятся в руках преступников на всех форумах». заявил на прошлой неделе ведущий исследователь безопасности «Касперского» Сергей Ложкин.

Другие аналитики по безопасности отметили широкую доступность BlackLotus для любого киберпреступника с достаточно глубокими знаниями как скачок к более широкой доступности возможностей уровня APT в готовом вредоносном ПО.

«Я изучил его функции и возможности, и сразу же скажу, что это основные моменты, которые должны быть полностью известны каждой синей и красной команде». предупредил технический директор Eclypsium Скотт Шеферман.

«Учитывая, что раньше эти инструменты были уделом таких APT, как ГРУ и APT 41 (China nexus), и принимая во внимание предыдущие наши криминальные открытия (напр.g. Trickbot’s Trickboot module), это представляет собой небольшой «скачок» вперед, с точки зрения простоты использования, масштабируемости, доступности и, самое главное, потенциала для гораздо большего воздействия в виде настойчивости, уклонения и/или уничтожения.»

Однако Шеферман сказал, что пока не будет найден образец, невозможно определить, является ли набор функций полным и готов ли он вообще к производству.

«Следует также отметить, что пока мы или кто-то другой не получит образец этого вредоносного ПО и не запустит его в лабораторных условиях на близком к серийному устройстве, всегда есть вероятность того, что он еще не готов к показу, или некоторые аспекты его функций работают неправильно, или даже вероятность того, что все это мошенничество». добавил он.

Если это подтвердится, то это будет тревожной тенденцией, поскольку BlackLotus также может использоваться для загрузки неподписанных драйверов, которые могут быть использованы в атаках Bring Your Own Driver (BYOVD).

В последние недели такие атаки связывают с широким кругом субъектов угроз, включая поддерживаемые государством хакерские группы, банды, занимающиеся разработкой выкупных программ, и неизвестных злоумышленников.

SOURCE

Image:www.bleepingcomputer.com

NET.Гаджет 2023