문바운스 악성코드

2021년 봄에 새로운 UEFI 임플란트 위협이 표적 공격의 일부로 등장했습니다. 공격에 대한 분석과 MoonBounce로 추적된 위협은 Securelist에서 발행한 보고서에서 발표되었습니다. 연구원들은 감염이 표적 컴퓨터 시스템의 펌웨어 이미지의 단일 구성 요소 수정과 관련되어 있음을 발견했습니다.

그렇게 함으로써 공격자는 장치 부팅 시퀀스의 의도된 실행 흐름을 가로채고 대신 고급 감염 체인을 시작할 수 있었습니다. 결정적인 것은 아니지만 MoonBounce가 중국과 관련이 있는 것으로 여겨지는 APT(Advanced Persistent Threat) 그룹 APT41과 연결되어 있다는 여러 요인이 있습니다.

MoonBounce 세부 정보

MoonBounce 위협은 감염된 장치의 SPI 플래시를 악용하므로 특히 은밀합니다. SPI는 Serial Peripheral Interface의 약자로 직렬 플래시 장치와 같은 다양한 장치 간의 통신을 용이하게 하는 직렬 프로토콜입니다. 결과적으로 MoonBounce 임플란트는 시스템의 하드 드라이브에 존재해야 할 필요성을 완전히 우회합니다.

또한 모든 디스크 형식이나 디스크 교체를 통해 유지될 수 있습니다. 전체 감염 체인은 파일 없이 완전히 메모리에서 실행되기 때문에 흔적이 거의 남지 않습니다. MoonBounce 위협의 주요 목적은 사용자 모드 맬웨어의 전달을 가능하게 하는 것입니다. 사용자 모드 맬웨어는 인터넷에서 가져온 추가 다음 단계 페이로드를 배포해야 합니다.