新发现的CosmicStrand固件恶意软件

关键要点

俄罗斯、中国、伊朗和越南的用户近期受到一种新型 CosmicStrand 统一可扩展固件接口UEFI固件根驱动程序的攻击。这个根驱动程序与一个尚未被确定的讲中文的威胁行为者有联系，相关信息由 The Hacker News 报道。卡巴斯基的研究人员在与 H81 芯片组相关的 Gigabyte 或 ASUS 主板固件映像中识别出了 CosmicStrand。“这表明可能存在一个常见的漏洞，使得攻击者能够将他们的根驱动程序注入固件的映像中，”研究人员指出。

CosmicStrand 被发现修改了 CSMCORE DXE 驱动程序，以便在被攻陷后将代码执行重定向到攻击者控制的段落，这表明攻击者的目标是在 Windows 启动时植入内核级恶意代码，利用这一访问权限进行恶意有效载荷的检索。研究人员补充说：“最引人注目的方面是， [] 这个 UEFI 植入似乎从 2016 年末就已经在实际环境中使用，远在 UEFI 攻击开始被公众描述之前。这一发现引发了一个最终问题：如果这就是攻击者当时使用的工具，那么他们现在又在使用什么呢？”

更多信息

如需进一步了解CosmicStrand及其影响，欢迎访问 Kaspersky 的官方网站。