Threat hunters bij Kaspersky hebben een bekende Chinese APT-acteur gespot die een UEFI-implantaat gebruikt om heimelijke persistentie te behouden bij opnieuw opstarten, schijfformattering of schijfvervanging.
De ontdekking is een andere bevestiging dat apex-bedreigingsactoren al moeilijk te detecteren malware onder het besturingssysteem inzetten en de verbinding met een Chinese APT-acteur is een onheilspellend teken dat firmware-implantatie al wijdverbreid kan zijn.
Een gedetailleerde technische analyse (download PDF) van Kaspersky's wereldwijde onderzoeksteam documenteert het 'MoonBounce' UEFI-firmware-implantaat en de verbinding met APT41 (ook bekend als Winnti), een productieve dreigingsactor waarvan bekend is dat hij door de Chinese staat gesponsorde spionageactiviteiten uitvoert.
Onderzoekers van Kaspersky zeiden dat het compromis onder het besturingssysteem oorspronkelijk werd gemarkeerd door firmware-scantechnologie ingebouwd in zijn producten om tekenen van rootkit-infecties te herkennen. Bij inspectie ontdekten onderzoekers dat een enkel onderdeel in de firmware-image door aanvallers zodanig was gewijzigd dat ze de oorspronkelijke uitvoeringsstroom van de opstartvolgorde van de machine konden onderscheppen en een geavanceerde infectieketen konden introduceren.
[ LEES: FinSpy Surveillance Spyware uitgerust met UEFI Bootkit ]
De initiële UEFI-infectievector is nog niet bekend, maar Kaspersky ontdekte dat de aanvaller kwaadaardige shellcode en een stuurprogramma voor de kernelmodus heeft toegevoegd aan een nieuw gemaakt gedeelte binnen de gecompromitteerde firmware-image om de opstartroutine van de geïnfecteerde machine te controleren.
"Dankzij de plaatsing op SPI-flash die zich op het moederbord bevindt in plaats van op de harde schijf, kan het implantaat in het systeem blijven bestaan, ook bij het formatteren of vervangen van de schijf", aldus Kaspersky in het rapport.
De onderzoekers zeggen dat het doel van het implantaat is om de implementatie van malware in de gebruikersmodus te beheren die de uitvoering van verdere payloads die van internet zijn gedownload, gefaseerd uitvoert.
"De infectieketen zelf laat geen sporen achter op de harde schijf, omdat de componenten alleen in het geheugen werken, waardoor een bestandsloze aanval met een kleine voetafdruk mogelijk wordt", merkte Kaspersky op en waarschuwde dat er andere niet-UEFI-implantaten werden ontdekt in het beoogde netwerk communiceren met dezelfde infrastructuur die de staging-payload heeft gehost.
[ LEES: ESET ontdekt UEFI Bootkit in cyberspionagecampagne ]
Kaspersky zei dat zijn wereldwijde detectiegegevens aantonen dat de aanval extreem gericht was en in één enkel geval werd gezien, en zei dat de gerichtheid overeenkomt met een organisatie die de controle heeft over verschillende ondernemingen die zich bezighouden met transporttechnologie.
De ontdekking van MoonBounce is het derde openbaar gedocumenteerde geval van op firmware gebaseerde rootkit-implantatie. Vorig jaar vonden onderzoekers tekenen van de FinSpy spyware-tool voor bewaking was uitgerust met een UEFI-bootkit en ESET heeft vergelijkbare mogelijkheden gevonden in een cyberspionagecampagne.
"MoonBounce markeert een bijzondere evolutie in deze groep bedreigingen door een meer gecompliceerde aanvalsstroom te presenteren in vergelijking met zijn voorgangers en een hoger niveau van technische competentie door de auteurs, die een grondig begrip tonen van de fijnere details die betrokken zijn bij het UEFI-opstartproces, ', aldus Kaspersky.
Als veiligheidsmaatregel tegen deze aanval en soortgelijke aanvallen raadt Kaspersky gebruikers aan om de UEFI-firmware regelmatig bij te werken en te controleren of BootGuard, indien van toepassing, is ingeschakeld.
Het bedrijf stelt ook voor om Trust Platform-modules in te schakelen en een beveiligingsproduct te implementeren dat inzicht biedt in firmware-images.
Zie ook: FinSpy Surveillance Spyware uitgerust met UEFI Bootkit
Zie ook: ESET ontdekt UEFI Bootkit in cyberspionagecampagne
Zie ook: Microsoft: Firmware-aanvallen overtreffen investeringen in beveiliging
Zie ook: SonicWall waarschuwt voor ransomware-aanvallen gericht op firmwarefout
Ryan Naraine is hoofdredacteur bij SecurityWeek en gastheer van de populaire Beveiligingsgesprekken podcast-serie. Hij is een journalist en cyberbeveiligingsstrateeg met meer dan 20 jaar ervaring op het gebied van IT-beveiliging en technologische trends.
Ryan heeft beveiligingsprogramma's opgezet bij grote internationale merken, waaronder Intel Corp., Bishop Fox en Kaspersky GReAT. Hij is mede-oprichter van Threatpost en de wereldwijde SAS-conferentiereeks. Ryans carrière als journalist omvat onder meer artikelen bij grote technologiepublicaties, waaronder Ziff Davis eWEEK, CBS Interactive's ZDNet, PCMag en PC World.
Ryan is directeur van de non-profitorganisatie Security Tinkerers en spreekt regelmatig op beveiligingsconferenties over de hele wereld.
Volg Ryan op Twitter @ryanaraine.
Tags: 
