MoonBounce: скрытая угроза в UEFI

Дата: 13.02.2022. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности
MoonBounce: скрытая угроза в UEFI
Изображение: markusspiske (pixabay)

«Лаборатория Касперского» представила очередной отчет из серии «Отчеты о целевых атаках (APT)» – MoonBounce: скрытая угроза в UEFI. В декабре 2021 года эксперты Kaspersky выявили компрометацию на уровне прошивки UEFI при изучении журналов Firmware Scanner (это инструмент, который был интегрированы в решения Kaspersky в 2019 г.).

Проанализировав результаты, специалисты «Лаборатории Касперского» выяснили, что киберпреступникам удалось модифицировать один из компонентов в изученном образце прошивки. Благодаря этому они смогли поменять цепочку выполнения в UEFI и интегрировать вредоносный код, который запускался при включении ПК.

В изученную прошивку злоумышленники внедрили вредоносный код MoonBounce. За счет внедрения во флэш-память SPI, которая располагается на материнской плате, имплант запускается и после переустановки ОС, и после форматирования, либо замены жесткого диска.

Основное предназначение вредоносного кода – развертывание вредоносного ПО, которое работает в пользовательском режиме, инициирующее выполнение новой полезной нагрузки, скачиваемой из Интернета.

Цепочка заражений построена таким образом, что при её реализации каких-либо следов на жестком диске не остается. Все её компоненты «работают» исключительно из оперативной памяти. Атаки такого типа принято называть «безфайловыми»,

В «Лаборатории Касперского» также указывают и на иные импланты в целевой сети, не связанные с UEFI. Они также передавали информацию той же инфраструктуре, у которой отмеченный выше вредоносный код запрашивал полезную нагрузку. По результатам расследования эксперты Kaspersky пришли к выводу, что с высокой долей вероятности за вредоносной кампанией стоит хакерская китайская группы APT 41.

В опубликованном «Лабораторией Касперского» отчете детально описан механизмы действия MoonBounce, его связь с прогосударственной китайской хакерской APT-группой APT 41 и иные признаки активности китайских группировок, которые были выявлены во взломанной сети, указывающие на связь с APT 41 и соответствующей хакерской кампанией.

Полная версия отчета представлена по этой ссылке.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.