ESET曝光Lojax:首个被利用的UEFI rootkit案例

ESET 安全专家刚刚宣布,他们已经发现了首个在野外被利用的“统一可扩展主机接口”(UEFI)rootkit 案例。这款恶意软件被称作 Lojax,被“高级持续威胁”(APT)的 Sednit 组织(又名 APT28、STRONTIUM、Sofacy、或 Fancy Bear),用于攻击巴尔干和欧洲中东部的政府机构。安全研究人员表示,他们发现该 UEFI rootkit 捆绑了能够“修补”受害者系统固件的工具,以便将 Lojax 恶意软件安装在目标系统的底层深处。

ESET曝光Lojax:首个被利用的UEFI rootkit案例

ESET 声称,在将 UEFI 模块写入系统 SPI 闪存时,该 rootkit 曾成功使用过一次。该模块能够在系统启动过程中,于磁盘上执行恶意软件。

研究人员留意到了这种持久的侵入性,因为它可以在重装系统、或更换硬盘之后依然存活 —— 除非你重新刷写,以清理系统的 UEFI 固件。

ESET曝光Lojax:首个被利用的UEFI rootkit案例

虽然重刷 UEFI 固件的解决方案很是简单,但并不是每个人都会轻松执行。值得庆幸的是,ESET 指出该 UEFI rootkit 没有正确的签名。

这意味着,借助该恶意软件发起的任何形式的攻击,都可以通过启用安全机制来规避。ESET 建议大家这么做,以便严格验证系统固件加载的每个组件的签名是否正确。

ESET曝光Lojax:首个被利用的UEFI rootkit案例

Sednit 曾在多起引人注目的全球攻击中搅过混水,包括 2016 美总统大选前、针对民主党全国委员会(DNC)发起的黑客攻击。

该组织被认为有俄政府的资助背景,且最近被美方发现其对保守团体实施了电子欺骗。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/a81fdc5679eec8ae78f354d1f9ae2eed.html