MoonBounce Malware

Tilbage i foråret 2021 dukkede en ny UEFI-implantat-trussel op som en del af et meget målrettet angreb. Analyse af angrebet og truslen sporet som MoonBounce blev offentliggjort i en rapport udgivet af Securelist. Forskerne opdagede, at infektionen involverede ændring af en enkelt komponent af det målrettede computersystems firmwarebillede.

Ved at gøre det var angriberne så i stand til at opsnappe det tilsigtede udførelsesflow af enhedens bootsekvens og i stedet starte en avanceret infektionskæde. Selvom det ikke er afgørende, peger flere faktorer i retning af, at MoonBounce er forbundet med APT (Advanced Persistent Threat) gruppen APT41, som menes at have bånd til Kina.

MoonBounce detaljer

MoonBounce-truslen er især snigende, da den udnytter SPI-flashen fra den inficerede enhed. SPI står for Serial Peripheral Interface, en seriel protokol, der skal lette kommunikationen mellem forskellige enheder, såsom serielle flash-enheder. Som et resultat omgår MoonBounce-implantatet fuldstændigt behovet for at eksistere på systemets harddisk.

Desuden kan det fortsætte gennem alle diskformater eller diskudskiftninger. Infektionskæden som helhed efterlader få spor, da den køres fuldstændig filløst og helt i hukommelsen. Hovedformålet med MoonBounce-truslen er at muliggøre levering af en bruger-mode malware, som igen har til opgave at implementere yderligere næste trins nyttelast hentet fra internettet.