新发现的CosmicStrand固件恶意软件

关键要点

• CosmicStrand 是一种新的根驱动程序，针对俄罗斯、中国、伊朗和越南用户。
• 它与尚未确认的中文威胁行为者有关。
• 研究表明，该恶意软件利用 Gigabyte 或 ASUS 主板固件中的漏洞。
• CosmicStrand 衡量攻击者如何在UEFI界面中植入恶意代码。

俄罗斯、中国、伊朗和越南的用户近期受到一种新型 CosmicStrand统一可扩展固件接口（UEFI）固件根驱动程序的攻击。这个根驱动程序与一个尚未被确定的讲中文的威胁行为者有联系，相关信息由 报道。卡巴斯基的研究人员在与 H81 芯片组相关的 Gigabyte 或 ASUS 主板固件映像中识别出了
CosmicStrand。“这表明可能存在一个常见的漏洞，使得攻击者能够将他们的根驱动程序注入固件的映像中，”研究人员指出。

CosmicStrand 被发现修改了 CSMCORE DXE 驱动程序，以便在被攻陷后将代码执行重定向到攻击者控制的段落，这表明攻击者的目标是在
Windows 启动时植入内核级恶意代码，利用这一访问权限进行恶意有效载荷的检索。研究人员补充说：“最引人注目的方面是， […] 这个 UEFI植入似乎从 2016 年末就已经在实际环境中使用，远在 UEFI攻击开始被公众描述之前。这一发现引发了一个最终问题：如果这就是攻击者当时使用的工具，那么他们现在又在使用什么呢？”

更多信息

日期 | 事件描述
—|—
2016年末 | CosmicStrand 被首次发现
2023年10月 | 最新的研究揭示其与新威胁行为者的关联

如需进一步了解CosmicStrand及其影响，欢迎访问 的官方网站。