MoonBounce Malware

Na jaře 2021 se jako součást vysoce cíleného útoku objevila nová hrozba implantátů UEFI. Analýza útoku a hrozby sledované jako MoonBounce byly zveřejněny ve zprávě zveřejněné Securelist. Výzkumníci zjistili, že infekce zahrnovala modifikaci jediné součásti obrazu firmwaru cílového počítačového systému.

Díky tomu byli útočníci schopni zachytit zamýšlený tok spouštění spouštěcí sekvence zařízení a místo toho zahájit pokročilý infekční řetězec. Ačkoli to není přesvědčivé, více faktorů ukazuje na to, že MoonBounce je spojen se skupinou APT (Advanced Persistent Threat) APT41, o které se předpokládá, že má vazby na Čínu.

Podrobnosti MoonBounce

Hrozba MoonBounce je obzvláště nenápadná, protože využívá SPI flash infikovaného zařízení. SPI je zkratka pro Serial Peripheral Interface, sériový protokol zaměřený na usnadnění komunikace mezi různými zařízeními, jako jsou sériová flash zařízení. V důsledku toho implantát MoonBounce zcela obchází potřebu existence na pevném disku systému.

Kromě toho může přetrvávat prostřednictvím jakýchkoli formátů disků nebo výměn disků. Infekční řetězec jako celek za sebou zanechává několik stop, protože běží zcela bez souborů a zcela v paměti. Hlavním účelem hrozby MoonBounce je umožnit doručení malwaru v uživatelském režimu, který má zase za úkol nasadit další užitečné zatížení v další fázi stažené z internetu.