Conti Leaksは、ファームウェアベースの攻撃に対するランサムウェアギャングの関心を明らかにします from thehackernews.com
security summary
今年初めに悪名高いContiランサムウェアグループからリークされたチャットを分析したところ、シンジケートは、侵害されたデバイス上の特権コードにアクセスするためのパスを提供する可能性のある一連のファームウェア攻撃手法に取り組んでいることが明らかになりました。
これには、MEインターフェイスで文書化されていないコマンドと脆弱性を見つけ、MEでコードを実行してSPIフラッシュメモリにアクセスして書き換え、カーネルを変更するために利用できるシステム管理モード(SMM)レベルのインプラントを削除する必要がありました。
「フォーカスをIntelMEに移し、BIOSが書き込み保護されているデバイスを標的にすることで、攻撃者ははるかに多くの利用可能な標的デバイスを簡単に見つけることができる」と研究者らは述べた。
ファームウェアの制御を悪用して、長期的な永続性を獲得し、セキュリティソリューションを回避し、修復不可能なシステム損傷を引き起こして、ロシア・ウクライナ戦争中に目撃された破壊的な攻撃を攻撃者が実行できるようにすることもできます。
「MEファームウェアへの移行により、攻撃者は攻撃する可能性のある被害者の数がはるかに多くなり、最新のシステムで利用可能な最も特権的なコードと実行モードに到達するための新しい手段が得られます。」
コメント