«Лаборатория Касперского» представила очередной отчет из серии «Отчеты о целевых атаках (APT)» – MoonBounce: скрытая угроза в UEFI. В декабре 2021 года эксперты Kaspersky выявили компрометацию на уровне прошивки UEFI при изучении журналов Firmware Scanner (это инструмент, который был интегрированы в решения Kaspersky в 2019 г.).
Проанализировав результаты, специалисты «Лаборатории Касперского» выяснили, что киберпреступникам удалось модифицировать один из компонентов в изученном образце прошивки. Благодаря этому они смогли поменять цепочку выполнения в UEFI и интегрировать вредоносный код, который запускался при включении ПК.
В изученную прошивку злоумышленники внедрили вредоносный код MoonBounce. За счет внедрения во флэш-память SPI, которая располагается на материнской плате, имплант запускается и после переустановки ОС, и после форматирования, либо замены жесткого диска.
Основное предназначение вредоносного кода – развертывание вредоносного ПО, которое работает в пользовательском режиме, инициирующее выполнение новой полезной нагрузки, скачиваемой из Интернета.
Цепочка заражений построена таким образом, что при её реализации каких-либо следов на жестком диске не остается. Все её компоненты «работают» исключительно из оперативной памяти. Атаки такого типа принято называть «безфайловыми»,
В «Лаборатории Касперского» также указывают и на иные импланты в целевой сети, не связанные с UEFI. Они также передавали информацию той же инфраструктуре, у которой отмеченный выше вредоносный код запрашивал полезную нагрузку. По результатам расследования эксперты Kaspersky пришли к выводу, что с высокой долей вероятности за вредоносной кампанией стоит хакерская китайская группы APT 41.
В опубликованном «Лабораторией Касперского» отчете детально описан механизмы действия MoonBounce, его связь с прогосударственной китайской хакерской APT-группой APT 41 и иные признаки активности китайских группировок, которые были выявлены во взломанной сети, указывающие на связь с APT 41 и соответствующей хакерской кампанией.
Полная версия отчета представлена по этой ссылке.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.
