MoonBounce Malware

Wiosną 2021 r. w ramach wysoce ukierunkowanego ataku pojawiło się nowe zagrożenie implantem UEFI. Analiza ataku i zagrożenia śledzonego jako MoonBounce zostały opublikowane w raporcie opublikowanym przez Securelist. Naukowcy odkryli, że infekcja obejmowała modyfikację pojedynczego komponentu obrazu oprogramowania układowego docelowego systemu komputerowego.

W ten sposób osoby atakujące były w stanie przechwycić zamierzony przepływ wykonywania sekwencji rozruchowej urządzenia i zamiast tego zainicjować zaawansowany łańcuch infekcji. Chociaż nie jest to rozstrzygające, wiele czynników wskazuje na powiązanie MoonBounce z grupą APT (Advanced Persistent Threat) APT41, która ma powiązania z Chinami.

Szczegóły MoonBounce

Zagrożenie MoonBounce jest szczególnie ukryte, ponieważ wykorzystuje flash SPI zainfekowanego urządzenia. SPI to skrót od Serial Peripheral Interface, protokół szeregowy mający na celu ułatwienie komunikacji między różnymi urządzeniami, takimi jak szeregowe urządzenia flash. W rezultacie implant MoonBounce całkowicie omija potrzebę istnienia na dysku twardym systemu.

Co więcej, może trwać przez dowolne formaty dysków lub wymiany dysków. Łańcuch infekcji jako całość pozostawia niewiele śladów, ponieważ przebiega całkowicie bez plików i całkowicie w pamięci. Głównym celem zagrożenia MoonBounce jest umożliwienie dostarczania szkodliwego oprogramowania działającego w trybie użytkownika, które z kolei ma za zadanie wdrożyć dodatkowe ładunki następnego etapu pobierane z Internetu.