MoonBounce, ny UEFI-malware på løs
UEFI, forkortelse for Unified Extensible Firmware Interface, er ganske enkelt en systemkomponent, som kobler sammen operativsystemet med resten av systemets fastvare og enheter. Dette er en lavnivåkomponent som ikke slettes/overskrives i tilfelle du formaterer harddisken eller reinstallerer operativsystemet. Og dette er grunnen til at nettkriminelle er så interessert i det – utviklingen av UEFI-malware lar dem få utholdenhet på en kompromittert enhet, og gjemmer seg dypt inn i systemets komponenter. Selv om offeret prøver å installere operativsystemet på nytt, vil de ikke klare å fjerne den skadelige modulen. Den siste delen av UEFI-malware som finnes i den ville MoonBounce Malware – den føyer seg inn i rekken av flere andre implantater, som har muligheten til å ligge inne i UEFI.
UEFI-fastvaren er vanligvis lagret på Serial Peripheral Interface (SPI) lagringsbrikke på datamaskinens hovedkort. For at den skal bli kompromittert, må angripere introdusere en ondsinnet fastvareoppdatering, som vil levere den ondsinnede koden til SPI-brikken.
Hvorfor er MoonBounce Malware spesiell?
Som allerede forklart, gjør denne skadevareens unike evne i UEFI-fastvaren det mye vanskeligere å identifisere og fjerne. Men denne egenskapen gir den også mange andre fordeler. For det første trenger den ikke å kjøre ved systemoppstart som de fleste moderne skadevare – i stedet kan den fungere uavhengig av operativsystemet.
Selvfølgelig, på grunn av hvor snikende MoonBounce Malware er, er funksjonene ganske begrenset. Dessverre gjør dens evne til å lagre dataene sine i UEFI-fastvaren og operere fra systemets minne det til en svært vanskelig trussel å håndtere. Det ser ut til at dets primære formål er å gjøre det mulig for angripere å distribuere ytterligere skadelig programvare på infiserte enheter – akkurat som en trojansk dropper.
Det ser ut til at ofrene som er berørt av MoonBounce Malware har eksfiltrert sensitive data fra enhetene deres – industrispionasje er sannsynligvis hovedformålet med denne spesifikke kampanjen. Ifølge skadevareforskere ser MoonBounce-kampanjen veldig lik ut tidligere kampanjer utført av APT41, en kinesisk trusselaktør.
