MoonBounce，新的 UEFI 惡意軟件

UEFI是Unified Extensible Firmware Interface的縮寫，簡單來說就是一個系統組件，它將操作系統與系統的其餘固件和設備連接起來。這是一個低級組件，在格式化硬盤或重新安裝操作系統時不會被擦除/覆蓋。這就是網絡犯罪分子對它如此感興趣的原因——UEFI 惡意軟件的開發使他們能夠在受感染的設備上獲得持久性，並深入到系統組件中。即使受害者嘗試重新安裝他們的操作系統，他們也無法刪除惡意模塊。在野性 MoonBounce 惡意軟件中發現的最新 UEFI 惡意軟件 - 它加入了其他幾個能夠駐留在 UEFI 中的植入物的行列。

UEFI 固件通常存儲在計算機主板上的串行外圍接口 (SPI) 存儲芯片上。為了使其受到攻擊，攻擊者需要引入惡意固件更新，將惡意代碼傳送到 SPI 芯片。

為什麼 MoonBounce 惡意軟件特別？

如前所述，這種惡意軟件在 UEFI 固件中的獨特能力使其更難識別和刪除。但是這個屬性也給了它許多其他的好處。對於初學者來說，它不需要像大多數現代惡意軟件那樣在系統啟動時運行——相反，它能夠獨立於操作系統工作。

當然，由於 MoonBounce 惡意軟件的隱蔽性，它的功能非常有限。不幸的是，它能夠將其數據存儲在 UEFI 固件中並從系統內存中運行，這使其成為一個非常難以應對的威脅。它的主要目的似乎是使攻擊者能夠將其他惡意軟件部署到受感染的設備上——就像特洛伊木馬投放程序一樣。

似乎受 MoonBounce 惡意軟件影響的受害者從他們的設備中洩露了敏感數據——工業間諜活動可能是這次特定活動的主要目的。據惡意軟件研究人員稱，MoonBounce 活動似乎與中國威脅組織 APT41 之前進行的活動非常相似。