MoonBounce haittaohjelma

Keväällä 2021 uusi UEFI-implanttiuhka nousi esiin osana erittäin kohdennettua hyökkäystä. Analyysi hyökkäyksestä ja MoonBounce-nimellä jäljitetystä uhasta julkaistiin Securelistin julkaisemassa raportissa. Tutkijat havaitsivat, että tartunta koski kohteena olevan tietokonejärjestelmän laiteohjelmistokuvan yksittäisen osan muutosta.

Näin tehdessään hyökkääjät pystyivät sieppaamaan laitteen käynnistyssekvenssin aiotun suoritusvirran ja käynnistämään sen sijaan kehittyneen tartuntaketjun. Vaikka monet tekijät eivät olekaan ratkaisevia, MoonBounce on yhteydessä APT (Advanced Persistent Threat) -ryhmään APT41, jolla uskotaan olevan siteitä Kiinaan.

MoonBounce-tiedot

MoonBounce-uhka on erityisen vaivalloinen, koska se hyödyntää tartunnan saaneen laitteen SPI-salamaa. SPI on lyhenne sanoista Serial Peripheral Interface, sarjaprotokolla, joka helpottaa tiedonsiirtoa eri laitteiden, kuten sarja flash-laitteiden välillä. Tämän seurauksena MoonBounce-implantti kiertää täysin tarpeen olla olemassa järjestelmän kiintolevyllä.

Lisäksi se voi säilyä minkä tahansa levyformaatin tai levykorvauksen aikana. Infektioketju kokonaisuudessaan jättää jälkeensä muutamia jälkiä, koska se ajetaan täysin tiedostottomasti ja kokonaan muistissa. MoonBounce-uhan päätarkoituksena on mahdollistaa käyttäjämoodin haittaohjelman toimittaminen, jonka tehtävänä on puolestaan ottaa käyttöön Internetistä haetut ylimääräiset seuraavan vaiheen hyötykuormat.