Зловреден софтуер MoonBounce

Още през пролетта на 2021 г. се появи нова заплаха за имплант на UEFI като част от силно насочена атака. Анализът на атаката и заплахата, проследени като MoonBounce, бяха публикувани в доклад, публикуван от Securelist. Изследователите откриха, че инфекцията включва модификация на един компонент от изображението на фърмуера на целевата компютърна система.

По този начин нападателите успяха да прихванат планирания поток на изпълнение на последователността на зареждане на устройството и вместо това да инициират усъвършенствана верига за заразяване. Въпреки че не са убедителни, множество фактори сочат към това, че MoonBounce е свързан с групата APT (Advanced Persistent Threat) APT41, за която се смята, че има връзки с Китай.

Подробности за MoonBounce

Заплахата MoonBounce е особено скрита, тъй като използва SPI flash на заразеното устройство. SPI означава сериен периферен интерфейс, сериен протокол, улесняващ комуникацията между различни устройства, като серийни флаш устройства. В резултат на това имплантът MoonBounce напълно заобикаля необходимостта от съществуване на твърдия диск на системата.

Освен това, той може да продължи чрез всякакви дискови формати или подмяна на дискове. Веригата на заразяване като цяло оставя малко следи след себе си, тъй като се изпълнява напълно безфайлово и изцяло в паметта. Основната цел на заплахата MoonBounce е да позволи доставката на зловреден софтуер в потребителски режим, който от своя страна има задачата да разположи допълнителни полезни товари от следващия етап, извлечени от Интернет.