برنامج MoonBounce Malware
في ربيع عام 2021 ، ظهر تهديد جديد لزرع UEFI كجزء من هجوم شديد الاستهداف. تحليل الهجوم والتهديد الذي تم تعقبه مع إطلاق MoonBounce في تقرير نشرته Securelist. اكتشف الباحثون أن العدوى تضمنت تعديل مكون واحد من صورة البرنامج الثابت لنظام الكمبيوتر المستهدف.
من خلال القيام بذلك ، تمكن المهاجمون بعد ذلك من اعتراض تدفق التنفيذ المقصود لتسلسل تمهيد الجهاز وبدلاً من ذلك بدء سلسلة إصابة متقدمة. على الرغم من أنها ليست حاسمة ، إلا أن هناك عدة عوامل تشير إلى ارتباط MoonBounce بمجموعة APT (التهديد المستمر المتقدم) APT41 ، والتي يُعتقد أن لها علاقات مع الصين.
تفاصيل MoonBounce
يعتبر تهديد MoonBounce متخفيًا بشكل خاص لأنه يستغل وميض SPI للجهاز المصاب. يرمز SPI إلى Serial Peripheral Interface ، وهو بروتوكول تسلسلي tsked مع تسهيل الاتصال بين الأجهزة المختلفة مثل أجهزة الفلاش التسلسلية. نتيجة لذلك ، تتغلب غرسة MoonBounce تمامًا على الحاجة إلى الوجود على محرك الأقراص الثابتة للنظام.
علاوة على ذلك ، يمكن أن يستمر من خلال أي تنسيقات للقرص أو بدائل للقرص. لا تترك سلسلة العدوى ككل سوى القليل من الآثار وراءها حيث يتم تشغيلها بلا مسامير تمامًا وفي الذاكرة تمامًا. الغرض الرئيسي من تهديد MoonBounce هو تمكين تسليم برنامج ضار في وضع المستخدم ، والذي يتم تكليفه بدوره بنشر حمولات إضافية في المرحلة التالية يتم جلبها من الإنترنت.
