Kaspersky Labは7月25日(米国時間)、「CosmicStrand: the discovery of a sophisticated UEFI firmware rootkit|Securelist」において、ユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI: Unified Extensible Firmware Interface)ファームウェアルートキットを発見したと伝えた。「CosmicStrand」と名付けられたUEFIルートキットは、中国の脅威アクターによって開発されたものと見られている。

  • CosmicStrand: the discovery of a sophisticated UEFI firmware rootkit|Securelist

    CosmicStrand: the discovery of a sophisticated UEFI firmware rootkit|Securelist

このルートキットに初期感染する経路は判明していないが、感染したデバイスはGigabyteまたはASUSのマザーボードのファームウェアイメージ上にあり、すべてH81チップセットを使用した設計に関連していることが明らかとなった。このチップセットには攻撃者がファームウェアのイメージにルートキットを注入することを可能とする共通の脆弱性が存在する可能性がある。

CosmicStrandはオペレーションシステムのロードプロセスを改ざんし、Windowsが起動するたびにカーネルレベルのインプラントを展開することを目的としている。ルートキットはブートマネージャに悪意のあるフックを設定し、Windowsカーネルローダを実行前に変更することを可能にしている。ローダを改ざん後にメモリ上にシェルコードを展開し、C2サーバに接続して被害者のマシン上で実行される悪意のあるペイロードを取得するという。

確認された被害者は中国、ベトナム、イラン、ロシアに所在する個人であり、どの組織や業種とも明確なつながりはないとされている。ただし、CosmicStrandがMyKingsボットネットやMoonBounceといったマルウェアとコードが重複していることから、このサイバー攻撃には中国の脅威アクターが関与していると見られている。

Kaspersky Labは、CosmicStrandは洗練されたUEFIファームウェアルートキットであり、パソコンが壊れるまで動作し続けるという永続性とステルス性が高いという特徴を持っていると指摘。まだ多くの謎が残されているとしており、早急に対処すべきセキュリティ業界の盲点としている。