Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 21. januar 2022 | Emne: Sikkerhed
Sikkerhedsforskere har afsløret MoonBounce, et tilpasset UEFI-firmwareimplantat, der bruges i målrettede angreb.
Implantatet menes at være værket af APT41, en kinesisk-talende sofistikeret hackergruppe også kendt som Winnti eller Double Dragon.
Den 20. januar sagde Kaspersky-forskere, at holdet i slutningen af sidste år afslørede et tilfælde af Unified Extensible Firmware Interface (UEFI)-kompromis forårsaget af ændringen af en komponent i firmwaren – et kerneelement kaldet SPI flash, placeret på bundkort.
“På grund af dets placering på SPI-flash, som er placeret på bundkortet i stedet for harddisken, er implantatet i stand til at forblive i systemet på tværs af diskformatering eller udskiftning,” bemærkede teamet.
Ikke kun resulterede justeringen af firmwaren i vedholdenhed på et niveau, der er ekstremt svært at fjerne, teamet siger, at firmwarebilledet blev “modificeret af angribere på en måde, der gjorde det muligt for dem at opsnappe det oprindelige udførelsesflow af maskinens bootsekvens og introducere en sofistikeret infektionskæde.”
Udvikleren af MoonBounce UEFI rootkit siges at have en dyb og grundig forståelse af, hvordan UEFI-systemer fungerer.
“Kilden til infektionen starter med et sæt kroge, der opsnapper udførelsen af flere funktioner i EFI Boot Services Table, nemlig AllocatePool, CreateEventEx og ExitBootServices,” forklarede forskerne. “Disse hooks bruges til at omdirigere strømmen af disse funktioner til ondsindet shell-kode, som er tilføjet af angriberne til CORE_DXE-billedet, som igen opsætter yderligere hooks i efterfølgende komponenter af boot-kæden, nemlig Windows-indlæseren.”
“Denne flertrinskæde af hooks letter udbredelsen af ondsindet kode fra CORE_DXE-billedet til andre opstartskomponenter under systemstart, hvilket tillader introduktionen af en ondsindet driver til hukommelsesadresserummet i Windows-kernen.”
Kaspersky siger, at denne enkelte patch forvandlede UEFI-firmwaren “til et meget snigende og vedvarende lager for malware i systemet” – og en, der blev gjort sværere at opdage, da der ikke var behov for at tilføje nye drivere eller foretage yderligere ændringer.
Derudover fungerer infektionskæden kun i hukommelsen, og der er derfor ingen spor på harddisken efter det filløse angreb.
Kaspersky har endnu ikke været i stand til at få en prøve af nyttelasten, og teamet har heller ikke opdaget, hvordan den indledende infektion fandt sted – selvom det formodes, at infektionen blev opnået eksternt.
Men ikke-UEFI-implantater blev fundet på det målrettede netværk, inklusive ScrambleCross/SideWalk malware, som kommunikerede med den samme infrastruktur som angriberne brugte. Det var gennem analysen af denne aktivitet, at sandsynlig tilskrivning har været mulig.
Så vidt Kaspersky ved, er APT41 gruppen avancerede vedvarende trusler (APT) bag indtrængen. Den kinesisk-talende APT er et statssponsoreret tøj, der menes at være ansvarligt for udbredte angreb mod it-sektoren, sociale medievirksomheder, telekommunikation, non-profitorganisationer og sundhedsvæsen.
Med hensyn til offerorganisationen i denne sag nævnte Kaspersky et mål, der “svarer til en organisation med kontrol over flere virksomheder, der beskæftiger sig med transportteknologi.”
I september 2020 indgav det amerikanske justitsministerium (DoJ) sigtelse mod fem formodede medlemmer af APT41.
“Vi kan nu sige, at UEFI-trusler gradvist bliver en norm,” siger Kaspersky. “Med dette i tankerne tager leverandører flere forholdsregler for at afbøde angreb som MoonBounce, for eksempel ved at aktivere Secure Boot som standard. Vi vurderer, at i dette igangværende våbenkapløb vil angreb mod UEFI fortsætte med at sprede sig, hvor angribere udvikler sig og finder måder at udnytte og omgå nuværende sikkerhedsforanstaltninger.”
Tidligere og relateret dækning
Indian Patchwork-hackinggruppe inficerer sig selv med fjernadgang Trojan
Donot Team APT vil angribe regerings-, militære mål i årevis – indtil de lykkes
SnatchCrypto-kampagnen planter bagdøre i krypto-startups, DeFi, blockchain-netværk
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre