Logo Zéphyrnet

Un APT chinois prolifique capturé à l'aide de l'implant de micrologiciel UEFI "MoonBounce"

Date :

Les chasseurs de menaces de Kaspersky ont repéré un acteur APT chinois bien connu utilisant un implant UEFI pour maintenir une persistance furtive lors des redémarrages, du formatage de disque ou des remplacements de disque.

Cette découverte est une autre confirmation que les acteurs de la menace Apex déploient déjà des logiciels malveillants difficiles à détecter sous le système d'exploitation et que la connexion à un acteur APT chinois est un signe inquiétant que l'implantation du micrologiciel est peut-être déjà répandue.

Une analyse technique détaillée (télécharger le PDF) de l'équipe de recherche mondiale de Kaspersky documente l'implant de micrologiciel UEFI "MoonBounce" et sa connexion à APT41 (également connu sous le nom de Winnti), un acteur menaçant prolifique connu pour ses activités d'espionnage parrainées par l'État chinois.

Les chercheurs de Kaspersky ont déclaré que le compromis sous le système d'exploitation avait été signalé à l'origine par technologie d'analyse du micrologiciel intégré à ses produits pour repérer les signes d'infection par rootkit. Après inspection, les chercheurs ont découvert qu'un seul composant de l'image du micrologiciel avait été modifié par les attaquants d'une manière qui leur permettait d'intercepter le flux d'exécution d'origine de la séquence de démarrage de la machine et d'introduire une chaîne d'infection sophistiquée.

[ LIS: Logiciel espion de surveillance FinSpy équipé d'un kit de démarrage UEFI ]

Le vecteur d'infection UEFI initial n'est pas encore connu, mais Kaspersky a découvert que l'attaquant avait ajouté un shellcode malveillant et un pilote en mode noyau dans une section nouvellement créée au sein de l'image du micrologiciel compromis pour réquisitionner la routine de démarrage de la machine infectée.

"En raison de son emplacement sur le flash SPI qui se trouve sur la carte mère au lieu du disque dur, l'implant est capable de persister dans le système à travers le formatage ou le remplacement du disque", a déclaré Kaspersky dans le rapport.

Les chercheurs affirment que le but de l'implant est de gérer le déploiement de logiciels malveillants en mode utilisateur qui organisent l'exécution d'autres charges utiles téléchargées sur Internet.

"La chaîne d'infection elle-même ne laisse aucune trace sur le disque dur, car ses composants fonctionnent uniquement en mémoire, facilitant ainsi une attaque sans fichier avec un faible encombrement", a noté Kaspersky, avertissant que d'autres implants non UEFI ont été découverts dans le réseau ciblé. communiquant avec la même infrastructure qui hébergeait la charge utile intermédiaire.

[ LIS: ESET découvre le kit de démarrage UEFI dans une campagne de cyberespionnage ]

Kaspersky a déclaré que ses données de détection globales montrent que l'attaque était extrêmement ciblée et a été vue dans un seul cas et a déclaré que le ciblage correspond à une organisation contrôlant plusieurs entreprises traitant de la technologie des transports.

La découverte de MoonBounce est le troisième cas documenté publiquement d'implantation de rootkit basé sur un micrologiciel. Pas plus tard que l'année dernière, des chercheurs ont découvert des signes Logiciel espion de surveillance FinSpy était équipé d'un bootkit UEFI et ESET a trouvé des fonctionnalités similaires dans une campagne de cyberespionnage.

"MoonBounce marque une évolution particulière dans ce groupe de menaces en présentant un flux d'attaque plus compliqué par rapport à ses prédécesseurs et un niveau de compétence technique plus élevé de la part de ses auteurs, qui démontrent une compréhension approfondie des détails les plus fins impliqués dans le processus de démarrage UEFI, », a déclaré Kaspersky.

Comme mesure de sécurité contre cette attaque et d'autres similaires, Kaspersky recommande aux utilisateurs de mettre régulièrement à jour le micrologiciel UEFI et de vérifier que BootGuard, le cas échéant, est activé. 

La société suggère également d'activer les modules Trust Platform et de déployer un produit de sécurité offrant une visibilité sur les images du micrologiciel.

Connexe: Logiciel espion de surveillance FinSpy équipé d'un kit de démarrage UEFI 

Connexe: ESET découvre le kit de démarrage UEFI dans une campagne de cyberespionnage 

Connexe: Microsoft : les attaques de micrologiciels dépassent les investissements en matière de sécurité

Connexe: SonicWall met en garde contre les attaques de ransomware ciblant une faille du micrologiciel

voir le compteur

Ryan Naraine est rédacteur en chef de SecurityWeek et animateur du populaire Conversations sur la sécurité série podcast. Il est journaliste et stratège en cybersécurité avec plus de 20 ans d'expérience dans le domaine de la sécurité informatique et des tendances technologiques.
Ryan a mis en place des programmes d'engagement en matière de sécurité dans de grandes marques mondiales, notamment Intel Corp., Bishop Fox et Kaspersky GReAT. Il est co-fondateur de Threatpost et de la série de conférences mondiale SAS. La carrière de Ryan en tant que journaliste comprend des signatures dans des publications technologiques majeures, notamment Ziff Davis eWEEK, ZDNet de CBS Interactive, PCMag et PC World.
Ryan est directeur de l'association à but non lucratif Security Tinkerers et conférencier régulier lors de conférences sur la sécurité à travers le monde.
Suivez Ryan sur Twitter @ryanaraine.

Chroniques précédentes de Ryan Naraine :
Mots clés:

Source : https://www.securityweek.com/prolific-chinese-apt-caught-using-moonbounce-uefi-firmware-implant

spot_img

Dernières informations

spot_img

Discutez avec nous

Salut! Comment puis-je t'aider?