MoonBounce Malware

Tillbaka våren 2021 dök ett nytt UEFI-implantathot upp som en del av en mycket riktad attack. Analyser av attacken och hotet som spårades som MoonBounce släpptes i en rapport publicerad av Securelist. Forskarna upptäckte att infektionen involverade modifiering av en enskild komponent av det riktade datorsystemets firmwarebild.

Genom att göra det kunde angriparna sedan avlyssna det avsedda exekveringsflödet av enhetens startsekvens och istället initiera en avancerad infektionskedja. Även om det inte är avgörande, pekar flera faktorer mot att MoonBounce är kopplat till APT-gruppen (Advanced Persistent Threat) APT41, som tros ha kopplingar till Kina.

MoonBounce detaljer

MoonBounce-hotet är särskilt smygande eftersom det utnyttjar SPI-blixten från den infekterade enheten. SPI står för Serial Peripheral Interface, ett seriellt protokoll som underlättar kommunikationen mellan olika enheter såsom seriella blixtenheter. Som ett resultat kringgår MoonBounce-implantatet helt behovet av att finnas på systemets hårddisk.

Dessutom kan det finnas kvar genom alla diskformat eller diskbyten. Infektionskedjan som helhet lämnar få spår efter sig då den körs helt fillöst och helt i minnet. Huvudsyftet med MoonBounce-hotet är att möjliggöra leverans av skadlig programvara i användarläge, som i sin tur har till uppgift att distribuera ytterligare nyttolaster i nästa steg som hämtas från Internet.