Вредоносное ПО MoonBounce

Еще весной 2021 года в рамках целенаправленной атаки появилась новая угроза внедрения UEFI. Анализ атаки и угрозы, отслеживаемой как MoonBounce, были опубликованы в отчете, опубликованном Securelist. Исследователи обнаружили, что заражение связано с модификацией одного компонента образа прошивки целевой компьютерной системы.

Таким образом, злоумышленники смогли перехватить предполагаемый поток выполнения последовательности загрузки устройства и вместо этого инициировать расширенную цепочку заражения. Хотя это и не является окончательным, несколько факторов указывают на то, что MoonBounce связан с группой APT (Advanced Persistent Threat) APT41, которая, как полагают, имеет связи с Китаем.

Детали MoonBounce

Угроза MoonBounce особенно незаметна, поскольку использует флэш-память SPI зараженного устройства. SPI означает последовательный периферийный интерфейс, последовательный протокол, предназначенный для облегчения связи между различными устройствами, такими как последовательные флэш-устройства. В результате имплантат MoonBounce полностью устраняет необходимость существования на жестком диске системы.

Кроме того, он может сохраняться при любом формате диска или замене диска. Цепочка заражения в целом оставляет мало следов, поскольку выполняется полностью без файлов и полностью в памяти. Основная цель угрозы MoonBounce — обеспечить доставку вредоносного ПО пользовательского режима, которому, в свою очередь, поручено развертывание дополнительных полезных нагрузок следующего этапа, полученных из Интернета.