# LoJáx > Tipo: **malware** · S0397 · [MITRE ATT&CK](https://attack.mitre.org/software/S0397) ## Descrição [[s0397-lojx|LoJáx]] é o primeiro rootkit UEFI conhecido a ser utilizado em ataques reais por um ator de ameaça estatal, descoberto pelo ESET em 2018 e atribuído ao [[g0007-apt28|APT28]] (Fancy Bear / Sofacy), grupo russo ligado ao GRU. O LoJáx é derivado do software legítimo de rastreamento de laptops LoJáck (também conhecido como Computrace), cujas funcionalidades foram repropositadas para uso malicioso - daí o nome. O LoJáx modifica o firmware UEFI/BIOS do sistema ([[t1542-001-system-firmware|T1542.001]]), garantindo persistência que sobrevive a reinstalações do sistema operacional, formatação de disco e até substituição de disco rígido. O rootkit opera na camada mais baixa do sistema, antes do carregamento do SO, tornando-o virtualmente invisível para soluções de segurança tradicionais. A persistência adicional é garantida via Registry Run Keys ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) no SO. O malware usa atributos NTFS ([[t1564-004-ntfs-file-attributes|T1564.004]]) para ocultar componentes e modifica o Registry para configuração ([[t1112-modify-registry|T1112]]). O [[g0007-apt28|APT28]] é atribuído à Unidade 26165 do GRU russo e conduz operações de espionagem e interferência política contra governos da OTAN, organizações internacionais e entidades políticas. O LoJáx foi encontrado em sistemas de organizações governamentais de países do leste europeu visados pelo APT28. A descoberta do LoJáx estabeleceu um novo benchmark para a sofisticação de ameaças persistentes avançadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1542-001-system-firmware|T1542.001 - System Firmware]] - [[t1014-rootkit|T1014 - Rootkit]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Detecção - **[[ds-0001-firmware|Firmware]]** - Monitorar integridade do firmware UEFI via TPM Secure Boot logs - o LoJáx modifica o firmware, tornando verificações de assinatura de firmware essenciais para detecção. - **[[ds-0022-file|File Modification]]** - Detectar escrita não autorizada em partições do sistema UEFI ou modificações em arquivos de firmware via ferramentas de gerenciamento de BIOS/UEFI. - **[[ds-0024-windows-registry|Windows Registry Key Modification]]** - Alertar para modificações no Registry em chaves de boot e startup que podem indicar um segundo estágio de persistência complementar ao rootkit UEFI. ```sigma title: LoJáx UEFI Firmware Write Attempt status: experimental logsource: category: driver_load product: windows detection: selection: ImageLoaded|contains: - 'RwDrv' - 'lha.sys' condition: selection falsepositives: - Legitimaté BIOS update utilities from vendors level: critical tags: - attack.persistence - attack.t1542.001 - code/distill ``` ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] (Fancy Bear), operador do LoJáx, é um dos grupos de espionagem cibernética mais sofisticados do mundo. Embora os alvos primários sejam governos da OTAN, a técnica de rootkit UEFI é altamente relevante para quaisquer organizações que processam informações sensíveis no Brasil, incluindo órgãos de defesa e inteligência. Detecção requer ferramentas especializadas de verificação de integridade de firmware não disponíveis em soluções tradicionais de EDR. ## Referências - [MITRE ATT&CK - S0397](https://attack.mitre.org/software/S0397) - [ESET - LoJáx: First UEFI rootkit found in the wild](https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/)