Malware dev claims to sell new BlackLotus Windows UEFI bootkit
2022/10/17 BleepingComputer — ある脅威アクターが、新しい UEFI ブートキット BlackLotus をハッキングフォーラムで販売している。このツールは、国家を後ろ盾とする脅威グループに関連する機能を有している。UEFI ブートキットとは、システムのファームウェアに仕込まれるものであり、マルウェアが起動シーケンスの初期段階でロードされるため、OS 内で動作するセキュリティ・ソフトウェアからは検出されない。
この Windows ブートキットのライセンスを求める脅威アクターは、$5,000 を支払わなければならない。しかし彼らは、リビルドなら $200 で済むと述べている。販売者によると、BlackLotus は、Secure Boot バイパスを統合し、Ring0/Kernel による削除防止機能を内蔵しており、リカバリ/セーフモードで起動するという。
BlackLotus の主張は、アンチ仮想マシン (anti-VM)/アンチデバッグ/コード難読化機能などを搭載しており、マルウェア解析の試みをブロックするというものだ。また、販売者は、ブートキットが正規のプロセス内の SYSTEM アカウントで実行されるため、セキュリティ・ソフトウェアがブートキットを検出/削除することはできないと述べている。
このブートキットは、インストール後のディスクサイズが僅か 80KB と小さい上に、ハイパーバイザーで保護されたコードの整合性 (HVCI) や、Windows Defender などの Windows の組み込みセキュリティ保護を無効化し、UAC (User Account Control) をバイパスできるという。
脅威アクターは、特定ファームウェア上での動作に関する “潜在的な顧客” からの質問に対し、「このソフトウェアと Secure Boot のバイパスは、ベンダーに依存せずに動作する。Secure Boot が使用されている場合には、ブートキットをロードするために脆弱な署名付きブートローダーが使用される。現時点で使用されている、数百のブートローダーに影響を与えるため、UEFI の失効リストに追加することで、この脆弱性を修正することは、現在のところ不可能だ」と述べている。
APT レベルのマルウェアがより広く出回るようになった
Kaspersky の主任セキュリティ研究員である Sergey Lozhkin も、BlackLotus が犯罪者向けフォーラムで宣伝されているのを確認している。彼は、「この種の機能は、一般的に国家に支援されたハッカー集団のみが利用できたものだ。したがって、これは深刻な脅威である」と警告している。
先週に、Sergey Lozhkin は、「従来において、このような脅威や技術は、高度な持続的脅威 (APT) を開発する人々に、主に政府関係者にのみアクセス可能だった。しかし今、この種のツールがフォーラムと介して、犯罪者にアクセス可能になった」と語っている。
また、他のセキュリティ・アナリストたちは、BlackLotus が資金力のあるサイバー犯罪者に広く利用されていることから、APT レベルの機能が市販のマルウェアで広く利用されるようになると指摘している。
潤沢な資金に支えられる APT から、一般的な経済犯であるランサムウェア・ギャングなどへと、 BlackLotus のような UEFI ブートキットが広まるという、とても深刻な状況となってきました。そのような傾向は、5月24日の「ダボス会議のインターポール:国家が開発したサーバー兵器がダークウェブで売られる日も近い」でも警告されていたようです。これも、ロシアによるウクライナ振興に関連するのかもしれません。よろしければ、8月19日の「ロシアによるサイバー攻撃:ウクライナから NATO へと標的が拡大する可能性は?」と、UEFI で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.