Hedeflenen bir casusluk kampanyasının bir parçası olarak gizli kalıcılığı korumak için dağıtılan daha önce belgelenmemiş bir üretici yazılımı implantı, Çince konuşan Winnti gelişmiş kalıcı tehdit grubuyla ilişkilendirildi (APT41).
Rootkit’i kodlayan Kaspersky Ay sıçraması, karakterize kötü amaçlı yazılım “en gelişmiş UEFI bugüne kadar vahşi ortamda keşfedilen bellenim implantı”, “implantın amacı, internetten indirilen diğer yüklerin yürütülmesini aşamalandıran kullanıcı modu kötü amaçlı yazılımların dağıtımını kolaylaştırmaktır.”
Bir zamanlar tehdit ortamında nadir görülen bellenim tabanlı rootkit’ler, yalnızca tespit edilmesi zor değil, aynı zamanda kaldırılması da zor bir şekilde uzun süreli dayanak elde etmeye yardımcı olmak için sofistike aktörler arasında hızla kazançlı araçlar haline geliyor.
LoJax olarak adlandırılan ilk üretici yazılımı düzeyinde rootkit, 2018’de vahşi doğada keşfedildi. O zamandan beri, MosaicRegressor, FinFisher ve ESPecter dahil olmak üzere şimdiye kadar üç farklı UEFI kötü amaçlı yazılım örneği ortaya çıkarıldı.
MoonBounce birkaç nedenden dolayı endişe vericidir. EFI Sistem Bölümünü hedefleyen FinFisher ve ESPecter’ın aksine (ESP), LoJax ve MosaicRegressor gibi yeni keşfedilen rootkit, SPI flaşı, sabit sürücüye harici kalıcı bir depolama.
Bu tür son derece kalıcı bootkit kötü amaçlı yazılımları, bir bilgisayarın ana kartına lehimlenmiş SPI flash depolama alanına yerleştirilmiştir, bu da sabit disk değiştirme yoluyla kurtulmayı etkin bir şekilde imkansız hale getirir ve hatta işletim sisteminin yeniden kurulmasına karşı dirençli hale getirir.
Rus siber güvenlik şirketi, geçen yıl tek bir olayda ürün yazılımı rootkit’inin varlığını tespit ettiğini ve bu, saldırının yüksek oranda hedeflenen doğasının göstergesi olduğunu söyledi. Bununla birlikte, UEFI ürün yazılımının bulaştığı kesin mekanizma belirsizliğini koruyor.
Gizliliğine ek olarak, önyükleme dizisinin yürütme akışını enjekte eden kötü niyetli bir “bulaşma zincirine” yönlendirmek amacıyla, görüntüye yeni bir sürücü eklemek yerine davranışını değiştirmek için mevcut bir üretici yazılımı bileşeninin kurcalanması gerçeğidir. sistem başlatma sırasında kullanıcı modundaki kötü amaçlı yazılım, daha sonra bir sonraki aşama yükünü almak için sabit kodlanmış bir uzak sunucuya ulaşır.
“Bileşenleri yalnızca bellekte çalıştığından, enfeksiyon zincirinin kendisi sabit sürücüde herhangi bir iz bırakmaz, bu nedenle küçük bir ayak izi ile dosyasız bir saldırıyı kolaylaştırır,” diyen araştırmacılar, hedeflenen diğer UEFI olmayan implantları ortaya çıkardığını da sözlerine ekledi. evreleme yükünü barındıran aynı altyapıyla iletişim kuran ağ.
Ağdaki birden fazla düğümde konuşlandırılan bu bileşenlerin başlıcaları arasında ScrambleCross (aka Yaya Geçidi) olarak izlenen bir arka kapı ve bir dizi istismar sonrası kötü amaçlı yazılım implantı yer alır; bu, saldırganların belirli bir sistemden veri sızdırmak için bir ilk erişim elde ettikten sonra yanal hareket gerçekleştirdiğini düşündürür. makineler.
Bu tür bellenim düzeyindeki değişikliklere karşı koymak için, UEFI bellenimini düzenli olarak güncellemeniz ve aşağıdakiler gibi korumaları etkinleştirmeniz önerilir. Önyükleme Koruması, Güvenli Önyüklemeve Güven Platformu Modülleri (TPM).
“MoonBounce, öncekilere kıyasla daha karmaşık bir saldırı akışı ve UEFI önyükleme sürecinde yer alan daha ince ayrıntıları tam olarak anladığını gösteren yazarları tarafından daha yüksek düzeyde teknik yeterlilik sunarak bu tehdit grubunda belirli bir evrimi işaret ediyor, ” dedi araştırmacılar.