新发现的CosmicStrand固件恶意软件

关键要点

• CosmicStrand 是一种新的根驱动程序，针对俄罗斯、中国、伊朗和越南用户。
• 它与尚未确认的中文威胁行为者有关。
• 研究表明，该恶意软件利用 Gigabyte 或 ASUS 主板固件中的漏洞。
• CosmicStrand 衡量攻击者如何在UEFI界面中植入恶意代码。

俄罗斯、中国、伊朗和越南的用户近期受到一种新型 CosmicStrand统一可扩展固件接口（UEFI）固件根驱动程序的攻击。这个根驱动程序与一个尚未被确定的讲中文的威胁行为者有联系，相关信息由 报道。卡巴斯基的研究人员在与 H81 芯片组相关的 Gigabyte 或 ASUS 主板固件映像中识别出了 CosmicStrand。“这表明可能存在一个常见的漏洞，使得攻击者能够将他们的根驱动程序注入固件的映像中，”研究人员指出。

CosmicStrand 被发现修改了 CSMCORE DXE 驱动程序，以便在被攻陷后将代码执行重定向到攻击者控制的段落，这表明攻击者的目标是在 Windows 启动时植入内核级恶意代码，利用这一访问权限进行恶意有效载荷的检索。研究人员补充说：“最引人注目的方面是， 的官方网站。