MoonBounce、緩い新しいUEFIマルウェア
UEFI(Unified Extensible Firmware Interfaceの略)は、オペレーティングシステムをシステムの残りのファームウェアおよびデバイスに接続するシステムコンポーネントを単純に配置したものです。これは低レベルのコンポーネントであり、ハードドライブをフォーマットしたり、オペレーティングシステムを再インストールしたりする場合に消去/上書きされることはありません。そして、これがサイバー犯罪者がそれに非常に興味を持っている理由です。UEFIマルウェアの開発により、侵入されたデバイスで永続性を獲得し、システムのコンポーネントの奥深くに隠れることができます。被害者がオペレーティングシステムを再インストールしようとしても、悪意のあるモジュールを削除できません。野生のMoonBounceマルウェアで見つかった最新のUEFIマルウェア– UEFI内に存在する機能を持つ、他のいくつかのインプラントの仲間入りをします。
UEFIファームウェアは通常、コンピューターのマザーボード上のシリアルペリフェラルインターフェイス(SPI)ストレージチップに保存されます。侵害されるためには、攻撃者は悪意のあるファームウェアアップデートを導入する必要があります。これにより、悪意のあるコードがSPIチップに配信されます。
MoonBounceマルウェアが特別なのはなぜですか?
すでに説明したように、このマルウェアの独自の機能はUEFIファームウェアに存在するため、識別と削除がはるかに困難になります。しかし、このプロパティには他にも多くの利点があります。手始めに、ほとんどの最新のマルウェアのようにシステムの起動時に実行する必要はありません。代わりに、オペレーティングシステムとは独立して動作することができます。
もちろん、MoonBounceマルウェアは非常にステルスであるため、その機能はかなり制限されています。残念ながら、データをUEFIファームウェアに保存し、システムのメモリから操作できるため、対処が非常に困難な脅威になります。その主な目的は、トロイの木馬ドロッパーのように、攻撃者が感染したデバイスに追加のマルウェアを配備できるようにすることであるようです。
MoonBounceマルウェアの影響を受けた被害者は、デバイスから機密データを盗み出されたようです。産業スパイがこの特定のキャンペーンの主な目的である可能性があります。マルウェアの研究者によると、MoonBounceキャンペーンは、中国の脅威アクターであるAPT41によって実行された以前のキャンペーンと非常によく似ています。