CosmicStrand - это сложный руткит для прошивки UEFI, который позволяет своим владельцам добиться очень длительной стойкости: на протяжении всего срока службы компьютера, и в то же время является чрезвычайно скрытным. Судя по всему, он используется в течение нескольких лет, и все же остается много загадок.
CosmicStrand был разработан китайскоязычным угрожающим субъектом или с использованием общих ресурсов, распространенных среди китайскоязычных угрожающих субъектов. В частности, ряд шаблонов кода, характерных для CosmicStrand, был также замечен в другом семействе вредоносных программ - ботнете MyKings. Этот ботнет, используемый для развертывания криптомайнеров, был задокументирован компанией Sophos в 2020 году, где они отметили наличие нескольких артефактов на китайском языке.
Сходства с CosmicStrand включают:
- Использование MBR-руткита для создания скрытой персистенции в MyKings.
- CosmicStrand и MyKings используют одинаковые метки при выделении памяти в режиме ядра (Proc и GetM).
- Оба семейства одинаково генерируют сетевые пакеты и напрямую используют объекты устройств UDP и TCP.
- Код хэширования API, используемый в обоих семействах, идентичен. Этот алгоритм был обнаружен только в двух других руткитах, MoonBounce и xTalker, также связанных с китайскими угрозами.
CosmicStrand Rootkit IOCs
Indicators of Compromise
IPv4
- 115.239.210.27
- 23.82.12.30
- 23.82.12.31
- 23.82.12.32
- 58.84.53.194
Domains
- update.bokts.com
- www.erda158.top
MD5
- ddfe44f87fac7daeeb1b681dea3300e9
SHA1
- 9a7291fc90f56d8c46cc78397a6f36bb23c60f66
SHA256
- 951f74882c1873bfe56e0bff225e3cd5d8964af4f7334182bc1bf0ec9e987a0a