MoonBounce Malware

In het voorjaar van 2021 dook een nieuwe UEFI-implantaatdreiging op als onderdeel van een zeer gerichte aanval. Analyse van de aanval en de dreiging die werd gevolgd als MoonBounce werden vrijgegeven in een rapport gepubliceerd door Securelist. De onderzoekers ontdekten dat de infectie betrekking had op de wijziging van een enkel onderdeel van de firmware-afbeelding van het beoogde computersysteem.

Door dit te doen, konden de aanvallers de beoogde uitvoeringsstroom van de opstartvolgorde van het apparaat onderscheppen en in plaats daarvan een geavanceerde infectieketen initiëren. Hoewel niet overtuigend, wijzen meerdere factoren erop dat MoonBounce verbonden is met de APT-groep (Advanced Persistent Threat) APT41, waarvan wordt aangenomen dat deze banden heeft met China.

MoonBounce-details

De MoonBounce-dreiging is vooral onopvallend omdat het de SPI-flash van het geïnfecteerde apparaat uitbuit. SPI staat voor Serial Peripheral Interface, een serieel protocol dat bedoeld is om de communicatie tussen verschillende apparaten, zoals seriële flash-apparaten, te vergemakkelijken. Als gevolg hiervan omzeilt het MoonBounce-implantaat de noodzaak om op de harde schijf van het systeem te staan.

Bovendien kan het blijven bestaan door alle schijfformaten of schijfvervangingen. De infectieketen als geheel laat weinig sporen achter omdat deze volledig fileless en volledig in het geheugen wordt uitgevoerd. Het belangrijkste doel van de MoonBounce-dreiging is om de levering van malware in de gebruikersmodus mogelijk te maken, die op zijn beurt is belast met de inzet van extra next-stage payloads die van internet zijn opgehaald.