セキュリティソリューションを提供するカスペルスキーは、UEFIに感染するブートキットを発見したと発表した。極めて稀なタイプのマルウェアで、2017年から2019年の間にアフリカやアジア、欧州の外交官やNGOのメンバーを狙ったスパイ活動に用いられたという。
「MosaicRegressor」と名付けられた同マルウェアは、2015年にHacking Team社から流出が確認されたブートキットを流用したもの。攻撃者は流出したコードを利用することで開発の手間を省き、身元が暴露するリスクを抑えることが可能だという。
調査によると、攻撃者は一連の標的型行為に「MosaicRegressor」を使用。一部の攻撃ではスピアフィッシングメールの文書にロシア語が用いられていた他、北朝鮮に関する内容の囮となる文書も確認したとのこと。
UEFI(Unified Extensible Firmware Interface)に埋め込まれることで、OSが起動する前に動作できるようになってしまう他、OSの再インストールでも完全な排除が困難になる。同社のシニアセキュリティリサーチャー マーク・レクティック氏は「攻撃者がカスタムメードの悪意のあるUEFIファームウェアを実環境で使用したことが初めて公になったケースです」と述べ、信頼できるベンダーからファームウェアを定期的に更新し、エンドポイントセキュリティを使うよう推奨した。