Kaspersky、UEFIに感染するブートキットを発見。OS再インストールでは排除できず

　Kasperskyは5日(現地時間)、新たなUEFI(Unified Extensible Firmware Interface)ブートキットが発見されたと報告した。

　同社によれば、調査チームが発見した不正なUEFIファームウェアイメージの分析を行なったところ、「MosaicRegressor」と呼ばれる攻撃用のモジュール型フレームワークの一部であることを確認。さらに検証を進めたところ、Hacking Teamから2015年に流出したブートキット「Vector-EDK」に手を加えたものが使用されていることが判明した。Vector-EDKが流用された理由については、開発の手間を省けることに加え、攻撃者の身元を隠しやすいからだとしている。

　感染すると「IntelUpdate.exe」という名前の実行ファイルを標的のスタートアップフォルダに書き込み、Windowsの起動時にマルウェアが起動するよう仕込む。ここから攻撃に応じたモジュールを注入することで、標的から情報の収集などが可能となる。あわせて、マルウェアが削除された場合にSPIフラッシュから再度書き込む仕組みも別途備える。

　UEFIに直接感染するマルウェアはOSが起動する前に実行が可能なため、検出自体が困難なことに加え、OSの再インストールやストレージの交換では基本的に排除できない。調査チームによれば、2017年から2019年の期間で、アフリカ、アジア、欧州の外交官やNGOのメンバーに対して行なわれた一連の標的型攻撃において、MosaicRegressorが用いられたことが確認されているという。