MoonBounce,新的 UEFI 恶意软件
UEFI是Unified Extensible Firmware Interface的缩写,简单来说就是一个系统组件,它将操作系统与系统的其余固件和设备连接起来。这是一个低级组件,在格式化硬盘或重新安装操作系统时不会被擦除/覆盖。这就是网络犯罪分子对它如此感兴趣的原因——UEFI 恶意软件的开发使他们能够在受感染的设备上获得持久性,并深入到系统组件中。即使受害者尝试重新安装他们的操作系统,他们也无法删除恶意模块。在野性 MoonBounce 恶意软件中发现的最新 UEFI 恶意软件 - 它加入了其他几个能够驻留在 UEFI 中的植入物的行列。
UEFI 固件通常存储在计算机主板上的串行外围接口 (SPI) 存储芯片上。为了使其受到攻击,攻击者需要引入恶意固件更新,将恶意代码传送到 SPI 芯片。
为什么 MoonBounce 恶意软件特别?
如前所述,这种恶意软件在 UEFI 固件中的独特能力使其更难识别和删除。但是这个属性也给了它许多其他的好处。对于初学者来说,它不需要像大多数现代恶意软件那样在系统启动时运行——相反,它能够独立于操作系统工作。
当然,由于 MoonBounce 恶意软件的隐秘性,它的功能非常有限。不幸的是,它能够将其数据存储在 UEFI 固件中并从系统内存中运行,这使其成为一个非常难以应对的威胁。它的主要目的似乎是使攻击者能够将其他恶意软件部署到受感染的设备上——就像特洛伊木马投放程序一样。
似乎受 MoonBounce 恶意软件影响的受害者从他们的设备中泄露了敏感数据——工业间谍活动可能是这次特定活动的主要目的。据恶意软件研究人员称,MoonBounce 活动似乎与中国威胁组织 APT41 之前进行的活动非常相似。