MoonBounce Malware

Nella primavera del 2021, una nuova minaccia di impianto UEFI è emersa come parte di un attacco altamente mirato. L'analisi dell'attacco e della minaccia tracciata come MoonBounce sono state pubblicate in un rapporto pubblicato da Securelist. I ricercatori hanno scoperto che l'infezione comportava la modifica di un singolo componente dell'immagine del firmware del sistema informatico preso di mira.

In questo modo, gli aggressori sono stati quindi in grado di intercettare il flusso di esecuzione previsto della sequenza di avvio del dispositivo e avviare invece una catena di infezione avanzata. Sebbene non conclusivi, molteplici fattori indicano che MoonBounce sia collegato al gruppo APT (Advanced Persistent Threat) APT41, che si ritiene abbia legami con la Cina.

Dettagli MoonBounce

La minaccia MoonBounce è particolarmente furtiva in quanto sfrutta il flash SPI del dispositivo infetto. SPI sta per Serial Peripheral Interface, un protocollo seriale che facilita la comunicazione tra vari dispositivi come i dispositivi flash seriali. Di conseguenza, l'impianto MoonBounce aggira completamente la necessità di esistere sul disco rigido del sistema.

Inoltre, può persistere attraverso qualsiasi formato del disco o sostituzione del disco. La catena di infezione nel suo insieme lascia poche tracce poiché viene eseguita completamente senza file e interamente in memoria. Lo scopo principale della minaccia MoonBounce è consentire la distribuzione di un malware in modalità utente, che a sua volta ha il compito di distribuire payload aggiuntivi della fase successiva recuperati da Internet.