Kaspersky hat den dritten Fall eines Firmware-Bootkits in freier Wildbahn entdeckt


Kaspersky-Forscher haben den dritten Fall eines Firmware-Bootkits in freier Wildbahn entdeckt. Genannt MoonBounce, ist dieses bösartige Implantat in der Unified Extensible Firmware Interface (UEFI)-Firmware des Computers, einem Schlüsselteil des Computers, im SPI-Flash, einer Speicherkomponente, die sich außerhalb der Festplatte befindet, versteckt. Es ist bekannt, dass solche Implantate schwierig zu entfernen sind und für Sicherheitsprodukte nur eingeschränkt sichtbar sind. Nachdem MoonBounce im Frühjahr 2021 erstmals in freier Wildbahn aufgetaucht ist, hat es einen ausgeklügelten Angriffsverlauf gezeigt, mit offensichtlichen Fortschritten im Vergleich zu zuvor gemeldeten UEFI-Firmware-Bootkits. Kaspersky-Forscher haben den Angriff mit ziemlicher Sicherheit dem bekannten Advanced Persistent Threat (APT)-Akteur APT41 zugeschrieben.

Die UEFI-Firmware ist eine Schlüsselkomponente in der überwiegenden Mehrheit der Geräte. Sein Code ist dafür verantwortlich, das Gerät zu booten und die Steuerung an die Software zu übertragen, die das Betriebssystem lädt. Dieser Code befindet sich im sogenannten SPI-Flash, einem nichtflüchtigen Speicher außerhalb der Festplatte. Wenn diese Firmware schädlichen Code enthält, wird dieser Code vor dem Betriebssystem ausgeführt, was es besonders schwierig macht, die vom Firmware-Bootkit implantierte Malware zu löschen; es kann nicht durch einfaches Neuformatieren der Festplatte oder Neuinstallation des Betriebssystems entfernt werden. Da sich der Code außerdem außerhalb der Festplatte befindet, sind die meisten Sicherheitslösungen praktisch nicht in der Lage, die Aktivität solcher Bootkits zu erkennen, es sei denn, sie verfügen über eine spezielle Funktion zum Scannen dieses Teils des Geräts.

MoonBounce ist erst das dritte gemeldete UEFI-Bootkit, das in freier Wildbahn gefunden wurde. Es erschien im Frühjahr 2021 und wurde erstmals von Kaspersky-Forschern entdeckt, als sie die Aktivität ihrer Firmware-Scanner-Lösung analysierten, die seit Anfang 2019 in Kaspersky-Produkten enthalten ist, um im ROM-BIOS versteckte Bedrohungen zu erkennen, einschließlich UEFI-Firmware-Images. Im Vergleich zu den beiden zuvor entdeckten Bootkits LoJax und MosaicRegressor zeigt MoonBounce deutliche Fortschritte mit einem komplizierteren Angriffsfluss und größerer technischer Raffinesse.

Das Implantat befindet sich in der CORE_DXE-Firmwarekomponente, die früh während der UEFI-Startsequenz ins Spiel kommt. Dann gelangen die Implantatkomponenten über eine Reihe von Hooks, die bestimmte Funktionen abfangen, in das Betriebssystem, wo sie den Command & Control-Server erreichen, um weitere schädliche Inhalte wiederherzustellen, die wir nicht wiederherstellen konnten. Wichtig zu beachten ist, dass die Infektionskette selbst keine Spuren auf der Festplatte hinterlässt, da ihre Komponenten nur im Arbeitsspeicher arbeiten, was einen Angriff ohne Dateien mit geringem Platzbedarf erleichtert.

Bei der Analyse von MoonBounce entdeckten die Kaspersky-Forscher mehrere bösartige Ladeprogramme und post-exploitative Malware auf mehreren Knoten desselben Netzwerks. Dazu gehören ScrambleCross oder Sidewalk, ein In-Memory-Implantat, das mit einem C2-Server kommunizieren kann, um Informationen auszutauschen und Plugins hinzuzufügen, Mimikat_ssp, ein öffentlich verfügbares Post-Exploitation-Tool zum Knacken von Anmeldeinformationen und Sicherheitsgeheimnissen, eine bisher unbekannte Hintertür, die auf Golang-Software basiert Sprache und Microcin, eine Malware, die häufig vom Bedrohungsakteur SixLittleMonkeys verwendet wird.

Der genaue Infektionsvektor bleibt unbekannt, es wird jedoch angenommen, dass die Infektion durch Fernzugriff auf das Zielgerät erfolgt. Während LoJax und MosaicRegressor DXE-Treiber-Add-Ons verwendeten, modifiziert MoonBounce eine vorhandene Firmware-Komponente, um einen subtileren und verdeckteren Angriff zu erreichen.

Während der gesamten Kampagne gegen das fragliche Netzwerk war es offensichtlich, dass die Angreifer eine Vielzahl von Aktionen ausführten, wie z. B. das Archivieren von Dateien und das Sammeln von Netzwerkinformationen. Die von den Angreifern während ihrer Aktivität verwendeten Befehle deuten darauf hin, dass sie an lateraler Bewegung und Datenexfiltration interessiert waren, und da ein UEFI-Implantat verwendet wurde, ist es wahrscheinlich, dass die Angreifer daran interessiert waren, ständige Spionageaktivitäten durchzuführen.

Kaspersky-Forscher haben MoonBounce mit ziemlicher Sicherheit dem APT41-Schauspieler zugeschrieben, von dem allgemein berichtet wird, dass er ein chinesischsprachiger Schauspieler ist, der seit mindestens 2012 weltweit Cyberspionage- und Cybercrime-Kampagnen durchführt Die oben erwähnte Malware im selben Netzwerk deutet auf eine mögliche Verbindung zwischen APT41 und anderen chinesischsprachigen Bedrohungsakteuren hin.

Bisher wurde das Firmware-Bootkit nur in einem Fall gefunden. In den Netzwerken mehrerer anderer Opfer wurden jedoch andere verwandte bösartige Muster (z. B. ScrambleCross und seine Ladeprogramme) gefunden.

Obwohl wir zusätzliche Implantate nicht definitiv anschließen könnenist Malware, die während unserer Recherchen mit dem MoonBounce-Akteur gefunden wurde, scheint es, als ob einige chinesischsprachige Bedrohungsakteure Tools miteinander teilen, um bei ihren verschiedenen Kampagnen zu helfen; Insbesondere scheint es weniger Gewissheit zwischen MoonBounce- und Microcin-Akteuren zu geben. fügt Denis Legezo, Chief Security Researcher im GReAT-Team, hinzu.

Vielleicht noch wichtiger ist, dass dieses neueste UEFI-Bootkit im Vergleich zum MosaicRegressor-Akteur, über den wir bereits 2020 berichteten, die gleichen bedeutenden Fortschritte zeigt. Tatsächlich wird eine zuvor harmlose Schlüsselkomponente in der Firmware in eine umgewandelt, die die Implementierung von Malware auf dem erleichtern kann system ist eine Innovation, die in früheren vergleichbaren Firmware-Bootkits in freier Wildbahn nicht zu sehen war und die Bedrohung weitaus versteckter macht. Bereits 2018 prognostizierten wir, dass UEFI-Bedrohungen an Popularität gewinnen würden, und es scheint, dass sich dieser Trend bewahrheitet. Wir wären nicht überrascht, 2022 weitere Bootkits zu finden. Glücklicherweise haben die Anbieter begonnen, Firmware-Angriffen mehr Aufmerksamkeit zu schenken, und immer mehr Firmware-Sicherheitstechnologien wie BootGuard und Trusted Platform Modules werden nach und nach übernommen “, sagte er. kommentierte Mark Lechtik, Chief Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky.



Source: Personal magazin by www.personalmag.rs.

*The article has been translated based on the content of Personal magazin by www.personalmag.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!