新版 Windows UEFI 根套件 Black Lotus 杀到

关键要点

• Black Lotus 是一种新型的 UEFI 根套件，具备高级持久性威胁（APT）级别的功能。
• 它能够禁用 Windows 安全软件，包括 Windows Defender 和 BitLocker，增强了攻击的潜在影响。
• 该恶意软件利用反调试、反虚拟化和代码混淆能力，具备地区限制能力，仅针对独立国家联合体（CIS）之外的地区展开攻击。

网络安全专家 Scott Scheferman 观察到，新版 Windows UEFI 根套件 Black Lotus 正在地下论坛上被推广，具备类似于国家支持的威胁组所采用的安全软件禁用能力。根据

的报道，除了具备防止在独立国家联合体内部感染的地理围栏功能，Black Lotus 还具备反调试、反虚拟化和代码混淆的能力。此外，该恶意软件还能禁用 、BitLocker 和受 Hypervisor 保护的代码完整性。

Scheferman 还指出，Black Lotus 不仅能规避用户访问控制和安全启动，还可实现文件传输和任务支持，给 IT 和 OT环境带来了巨大的安全风险。他补充道：“考虑到这种战术曾经只限于类似俄罗斯 GRU 和 APT 41（与中国有关）的 APTs的使用，以及我们之前发现的犯罪技术（例如 Trickbot 的 #Trickboot模块），这代表了在易用性、可扩展性、可获取性方面的一次‘飞跃’，更重要的是，在持久性、规避和/或破坏方式的影响潜力上显著上升。”

相关链接

这种新型根套件的出现，标志着网络犯罪活动的一个重要转折点，值得各界密切关注。