В конце 2021 года, изучая логи Firmware Scanner, эксперты «Лаборатории Касперского» обнаружили компрометацию на уровне прошивки UEFI. Дальнейший анализ показал, что злоумышленники модифицировали один из компонентов в исследуемом образе прошивки, что позволило им изменить цепочку выполнения в UEFI и внедрить вредоносный код, запускаемый при старте машины.
Проанализировав компоненты модифицированной прошивки и другие артефакты вредоносной активности в сети жертвы, исследователи пришли к выводу, что в исследуемую прошивку был внедрен вредоносный код, который получил имя MoonBounce.
Отличительной особенностью MoonBounce является то, что малварь скрывается не в разделе ESP (EFI System Partition), где обычно располагается часть кода UEFI, а сразу внедряется во флэш-память SPI, расположенную на материнской плате. То есть вредонос может запускаться как после переустановки операционной системы, так и после форматирования или замены жесткого диска. Фактически буткит останется на зараженном устройстве вплоть до перепрошивки SPI-памяти (а это очень сложный процесс) или вплоть до замены материнской платы.
По информации «Лаборатории Касперского», MoonBounce — это уже третий буткит UEFI, который встречался ИБ-аналитикам и был способен заражать SPI-память. Предыдущие два случая, это малварь LoJax и MosaicRegressor.
Бэкдор использует компонент прошивки, известный под именем CORE_DXE, — он вызывается на ранней стадии цепочки загрузки UEFI.
«Заражение начинается с ряда перехватов, которые вмешиваются в выполнение некоторых функций таблицы EFI Boot Services Table: AllocatePool, CreateEventEx и ExitBootServices. Таким способом вредоносу удаётся перенаправить поток этих функций на вредоносный шеллкод, который атакующие добавляют образу CORE_DXE», — пишут в отчёте специалисты «Лаборатории Касперского».
Исследователи заявили, что MoonBounce использовался как способ поддержания доступа к зараженному хосту и развертывания малвари на втором этапе атаки. Фактически, пока MoonBounce был развернут только один раз (в сети неназванной транспортной компании), и, основываясь на другой малвари, развернутой в той же сети, исследователи предположили, что MoonBounce — это работа китайской кибершпионской группировки APT41.
Связи между элементами инфраструктуры имплантов MoonBounce и ScrambleCross, обнаруженных в одной сети
Так, MoonBounce, и другие вредоносы , обнаруженное в сети жертвы, часто связывались с одной и той же серверной инфраструктурой, откуда они, скорее всего, получали инструкции от APT41.
Единственной загадкой для исследователей пока остался способ установки MoonBounce.
Детальный технический отчёт, посвященный MoonBounce, уже опубликован на сайте компании.
Проанализировав компоненты модифицированной прошивки и другие артефакты вредоносной активности в сети жертвы, исследователи пришли к выводу, что в исследуемую прошивку был внедрен вредоносный код, который получил имя MoonBounce.
Отличительной особенностью MoonBounce является то, что малварь скрывается не в разделе ESP (EFI System Partition), где обычно располагается часть кода UEFI, а сразу внедряется во флэш-память SPI, расположенную на материнской плате. То есть вредонос может запускаться как после переустановки операционной системы, так и после форматирования или замены жесткого диска. Фактически буткит останется на зараженном устройстве вплоть до перепрошивки SPI-памяти (а это очень сложный процесс) или вплоть до замены материнской платы.
По информации «Лаборатории Касперского», MoonBounce — это уже третий буткит UEFI, который встречался ИБ-аналитикам и был способен заражать SPI-память. Предыдущие два случая, это малварь LoJax и MosaicRegressor.
Бэкдор использует компонент прошивки, известный под именем CORE_DXE, — он вызывается на ранней стадии цепочки загрузки UEFI.
«Заражение начинается с ряда перехватов, которые вмешиваются в выполнение некоторых функций таблицы EFI Boot Services Table: AllocatePool, CreateEventEx и ExitBootServices. Таким способом вредоносу удаётся перенаправить поток этих функций на вредоносный шеллкод, который атакующие добавляют образу CORE_DXE», — пишут в отчёте специалисты «Лаборатории Касперского».
Исследователи заявили, что MoonBounce использовался как способ поддержания доступа к зараженному хосту и развертывания малвари на втором этапе атаки. Фактически, пока MoonBounce был развернут только один раз (в сети неназванной транспортной компании), и, основываясь на другой малвари, развернутой в той же сети, исследователи предположили, что MoonBounce — это работа китайской кибершпионской группировки APT41.
Связи между элементами инфраструктуры имплантов MoonBounce и ScrambleCross, обнаруженных в одной сети
Так, MoonBounce, и другие вредоносы , обнаруженное в сети жертвы, часто связывались с одной и той же серверной инфраструктурой, откуда они, скорее всего, получали инструкции от APT41.
Единственной загадкой для исследователей пока остался способ установки MoonBounce.
Детальный технический отчёт, посвященный MoonBounce, уже опубликован на сайте компании.