危险的涓涓细流发展为目标UEFI / BIOS固件

Trickbot中发现的新功能使恶意演员能够检查目标系统的UEFI / BIOS固件，以众所周知的，未被匹配的漏洞，如果已被剥削，将使它们能够引起极其破坏性的，甚至破坏性的网络攻击。

根据Eclypsium的研究人员和先进的情报（AdvIntel），他已经描述了发展的发展 - 被称为Trickboot - 作为组织和国家安全的危急风险。

“我们的研究发现了对固件漏洞进行侦察的娱乐性，”在披露公告中写了研究团队。“此活动设置TrickBot运算符的阶段，以执行更加积极的措施，例如安装固件植入物和后门，或者对目标设备的销毁。

“威胁演员非常可能已经利用这些漏洞对抗高价值目标。在检测到它们之前，相似的联合国威胁已经消失了。实际上，这正是他们对攻击者的价值。“

Trickboot尤其危险，因为与类似的攻击一样，颠覆引导过程，允许攻击者对系统的操作系统进行控制并建立持续的持久性。

更具体地说，如果该过程通过写入启动过程的SPI闪存芯片，可恶意演员可以：通过远程恶意软件或勒索软件广告系列砖块固件级别的设备;重新加入经过系统恢复的设备;旁路或禁用操作系统和软件依赖的安全控制;连锁其他设备组件的漏洞;并回滚固件更新修补以前的漏洞。

新的能力是涓涓细流演变的重要一步，并大规模增加它姿势的危险。该团队表示，鉴于俄罗斯和朝鲜的Trickbot工具集和主动高级持久威胁（APT）组之间的链接 - 可能甚至是政府支持的团体 - 以及过去的使用，以打击教育，金融服务，医疗保健等部门，电信和其他关键的国家基础设施，捍卫者应该高度警报，因为大多数人都不会加工以减轻这种威胁。

“利用icricBot的对手现在有一个自动手段，了解他们的哪些受害者主持人容易受到UEFI漏洞的影响，就像他们在2017年的工具，以利用EternalBlue和Eternallomance漏洞，”研究人员写道。“安全团队应该采取行动来减轻这种风险。

“鉴于涓涓细刻的大小和范围，专门针对固件的模块的发现是令人不安的。这些威胁演员正在收集验证的目标，这些目标是易受固件修改的攻击，并且一行代码可以将该侦察模块更改为攻击功能。“

团队补充说：“与其他野外的固件攻击一样，TrickBot重复使用公共可用的代码，快速轻松地实现这些新的固件级功能。在地缘政治活动和全球大流行中的全球范围内的越来越多的生活中，涓涓细流正在挖掘往往被忽视的固件的隐藏区域。

“这呈现出比以往任何时候都更大的风险，因为先前带来了高度破坏性赎金软件的TrickBot的规模，现在为许多可能对此类技术毫不准备的更多组织带来固件攻击。”