Charlie Osborne Bidragsgivare
Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi publicerad i Zero Day den 21 januari 2022 | Ämne: Säkerhet
Säkerhetsforskare har avslöjat MoonBounce, ett anpassat UEFI-firmware-implantat som används i riktade attacker.
Implantatet tros vara ett verk av APT41, en kinesisktalande sofistikerad hackargrupp även känd som Winnti eller Double Dragon.
Den 20 januari sa Kaspersky-forskare att i slutet av förra året upptäckte teamet ett fall av Unified Extensible Firmware Interface (UEFI) kompromiss orsakad av modifieringen av en komponent i den fasta programvaran – ett kärnelement som kallas SPI-flash, som finns på moderkort.
“På grund av dess placering på SPI-flash som är placerad på moderkortet istället för hårddisken, kan implantatet finnas kvar i systemet över diskformatering eller utbyte”, noterade teamet.
Inte bara resulterade justeringen av den fasta programvaran i persistens på en nivå som är extremt svår att ta bort, teamet säger att firmwareavbildningen “modifierades av angripare på ett sätt som gjorde att de kunde fånga upp det ursprungliga exekveringsflödet av maskinens startsekvens och introducera en sofistikerad infektionskedja.”
Utvecklaren av MoonBounce UEFI rootkit sägs ha en djup och grundlig förståelse för hur UEFI-system fungerar.
“Källan till infektionen börjar med en uppsättning krokar som avlyssnar utförandet av flera funktioner i EFI Boot Services Table, nämligen AllocatePool, CreateEventEx och ExitBootServices,” förklarade forskarna. “Dessa krokar används för att avleda flödet av dessa funktioner till skadlig skalkod som läggs till av angriparna till CORE_DXE-avbildningen, som i sin tur sätter upp ytterligare krokar i efterföljande komponenter i startkedjan, nämligen Windows-laddaren.”
“Denna flerstegskedja av krokar underlättar spridningen av skadlig kod från CORE_DXE-avbildningen till andra startkomponenter under systemstart, vilket möjliggör introduktion av en skadlig drivrutin till minnesadressutrymmet i Windows-kärnan.”
Kaspersky säger att denna enstaka patch förvandlade UEFI-firmware “till en mycket smygande och beständig lagring för skadlig programvara i systemet” – och en som gjordes svårare att upptäcka eftersom det inte fanns något behov av att lägga till nya drivrutiner eller göra ytterligare ändringar.
Dessutom fungerar infektionskedjan endast i minnet, så det finns inga spår på hårddisken efter den fillösa attacken.
Kaspersky har inte kunnat erhålla ett prov på nyttolasten ännu, och teamet har inte heller upptäckt hur den första infektionen ägde rum – även om det antas att infektionen åstadkoms på distans.
Men icke-UEFI-implantat hittades på det riktade nätverket, inklusive ScrambleCross/SideWalk malware, som kommunicerade med samma infrastruktur som angriparna använde. Det var genom analysen av denna aktivitet som trolig tillskrivning har varit möjlig.
Såvitt Kaspersky vet är APT41 gruppen avancerade persistent hot (APT) bakom intrånget. Den kinesisktalande APT är en statligt sponsrad outfit som tros vara ansvarig för omfattande attacker mot IT-sektorn, sociala medieföretag, telekom, ideella organisationer och sjukvård.
När det gäller offerorganisationen i det här fallet nämnde Kaspersky ett mål som “motsvarar en organisation som har kontroll över flera företag som sysslar med transportteknik.”
I september 2020 väckte det amerikanska justitiedepartementet (DoJ) åtal mot fem misstänkta medlemmar av APT41.
“Vi kan nu säga att UEFI-hot gradvis blir en norm”, säger Kaspersky. “Med detta i åtanke vidtar leverantörer fler försiktighetsåtgärder för att mildra attacker som MoonBounce, till exempel genom att aktivera Secure Boot som standard. Vi bedömer att attacker mot UEFI kommer att fortsätta att spridas i denna pågående kapprustning, med angripare som utvecklas och hittar sätt att utnyttja och kringgå nuvarande säkerhetsåtgärder.”
Tidigare och relaterad bevakning
Indian Patchwork-hackinggrupp infekterar sig själv med fjärråtkomst Trojan
Donot Team APT kommer att slå statliga, militära mål i flera år – tills de lyckas
SnatchCrypto-kampanjen planterar bakdörrar i kryptostartuper, DeFi, blockchain-nätverk
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter