Een voorheen ongedocumenteerd firmware-implantaat dat is ingezet om heimelijke volharding te behouden als onderdeel van een gerichte spionagecampagne, is in verband gebracht met de Chinees sprekende Winnti geavanceerde persistente bedreigingsgroep (APT41).
Kaspersky, met de codenaam rootkit Maan stuiteren, gekarakteriseerde de malware als de "meest geavanceerde" UEFI firmware-implantaat dat tot nu toe in het wild is ontdekt', en 'het doel van het implantaat is om de implementatie van malware in de gebruikersmodus te vergemakkelijken die de uitvoering van verdere payloads die van internet zijn gedownload, gefaseerd uitvoert'.
Op firmware gebaseerde rootkits, ooit een zeldzaamheid in het dreigingslandschap, zijn hard op weg lucratieve hulpmiddelen te worden onder geavanceerde spelers om langdurige voet aan de grond te krijgen op een manier die niet alleen moeilijk te detecteren, maar ook moeilijk te verwijderen is.
De eerste rootkit op firmwareniveau - nagesynchroniseerd LoJax — werd in 2018 in het wild ontdekt. Sindsdien zijn tot nu toe drie verschillende gevallen van UEFI-malware opgegraven, waaronder MozaïekRegressor, FinFisher en ESPecter.
MoonBounce is om een aantal redenen zorgwekkend. In tegenstelling tot FinFisher en ESPecter, die zich richten op de EFI-systeempartitie (ESP), de nieuw ontdekte rootkit — zoals LoJax en MosaicRegressor — richt zich op de SPI-flitser, een niet-vluchtige opslag buiten de harde schijf.
Dergelijke zeer hardnekkige bootkit-malware is ondergebracht in SPI-flashopslag die op het moederbord van een computer is gesoldeerd, waardoor het onmogelijk is om deze te verwijderen via vervanging van de harde schijf en zelfs bestand is tegen herinstallatie van het besturingssysteem.
Het Russische cyberbeveiligingsbedrijf zei dat het vorig jaar de aanwezigheid van de firmware-rootkit in een enkel incident had geïdentificeerd, wat wijst op het zeer gerichte karakter van de aanval. Dat gezegd hebbende, blijft het exacte mechanisme waarmee de UEFI-firmware is geïnfecteerd, onduidelijk.
Wat nog bijdraagt aan de onopvallendheid is het feit dat er met een bestaande firmwarecomponent is geknoeid om het gedrag ervan te wijzigen - in plaats van een nieuwe driver aan de afbeelding toe te voegen - met als doel de uitvoeringsstroom van de opstartvolgorde om te leiden naar een kwaadaardige "infectieketen" die injecteert de malware in de gebruikersmodus tijdens het opstarten van het systeem, die vervolgens contact opneemt met een hardgecodeerde externe server om de payload van de volgende fase op te halen.
"De infectieketen zelf laat geen sporen achter op de harde schijf, omdat de componenten alleen in het geheugen werken, waardoor een bestandsloze aanval met een kleine voetafdruk wordt vergemakkelijkt", merkten de onderzoekers op, eraan toevoegend dat het andere niet-UEFI-implantaten in de gerichte netwerk dat communiceert met dezelfde infrastructuur die de staging-payload heeft gehost.
De belangrijkste van de componenten die op meerdere knooppunten in het netwerk worden ingezet, is een achterdeur die wordt gevolgd als ScrambleCross (ook bekend als crosswalk) en een aantal post-exploitatie malware-implantaten, wat suggereert dat de aanvallers zijwaartse bewegingen uitvoerden na het verkrijgen van een eerste toegang om gegevens van specifieke machines te exfiltreren.
Om dergelijke wijzigingen op firmwareniveau tegen te gaan, wordt aanbevolen om de UEFI-firmware regelmatig bij te werken en beveiligingen in te schakelen, zoals Laarsbeschermer, Secure boot, en Trust Platform-modules (TPM).
"MoonBounce markeert een bijzondere evolutie in deze groep bedreigingen door een meer gecompliceerde aanvalsstroom te presenteren in vergelijking met zijn voorgangers en een hoger niveau van technische competentie door de auteurs, die een grondig begrip tonen van de fijnere details die betrokken zijn bij het UEFI-opstartproces, ', aldus de onderzoekers.
Bron: https://thehackernews.com/2022/01/chinese-hackers-spotted-using-new-uefi.html
