MoonBounce skadelig programvare

Tilbake våren 2021 dukket det opp en ny UEFI-implantat-trussel som en del av et høyt målrettet angrep. Analyse av angrepet og trusselen sporet som MoonBounce ble utgitt i en rapport publisert av Securelist. Forskerne oppdaget at infeksjonen involverte modifisering av en enkelt komponent av det målrettede datasystemets fastvarebilde.

Ved å gjøre det kunne angriperne deretter avskjære den tiltenkte utførelsesflyten av enhetens oppstartssekvens og i stedet sette i gang en avansert infeksjonskjede. Selv om det ikke er avgjørende, peker flere faktorer mot at MoonBounce er koblet til APT (Advanced Persistent Threat) gruppen APT41, som antas å ha bånd til Kina.

MoonBounce detaljer

MoonBounce-trusselen er spesielt snikende ettersom den utnytter SPI-flashen til den infiserte enheten. SPI står for Serial Peripheral Interface, en seriell protokoll som skal lette kommunikasjonen mellom ulike enheter, for eksempel serielle flash-enheter. Som et resultat omgår MoonBounce-implantatet fullstendig behovet for å eksistere på systemets harddisk.

Videre kan det vedvare gjennom alle diskformater eller diskutskiftninger. Infeksjonskjeden som helhet etterlater få spor ettersom den kjøres helt filløst og helt i minnet. Hovedformålet med MoonBounce-trusselen er å muliggjøre levering av skadelig programvare i brukermodus, som igjen har i oppgave å distribuere ytterligere nyttelaster i neste trinn hentet fra Internett.