Hedeflenen bir casusluk kampanyasının bir parçası olarak gizli kalıcılığı korumak için dağıtılan daha önce belgelenmemiş bir üretici yazılımı implantı, Çince konuşan Winnti gelişmiş kalıcı tehdit grubuyla ilişkilendirildi (APT41).
Rootkit'i kodlayan Kaspersky Ay sıçraması, özelliği kötü amaçlı yazılım “en gelişmiş UEFI bugüne kadar vahşi ortamda keşfedilen bellenim implantı” sözlerine ek olarak, “implantın amacı, internetten indirilen diğer yüklerin yürütülmesini aşamalandıran kullanıcı modu kötü amaçlı yazılımların dağıtımını kolaylaştırmaktır.”
Bir zamanlar tehdit ortamında nadir görülen bellenim tabanlı rootkit'ler, yalnızca tespit edilmesi zor değil, aynı zamanda kaldırılması da zor bir şekilde uzun süreli dayanak elde etmeye yardımcı olmak için sofistike aktörler arasında hızla kazançlı araçlar haline geliyor.
İlk üretici yazılımı düzeyinde rootkit — dublajlı LoJax — 2018'de doğada keşfedildi. O zamandan beri, şu ana kadar üç farklı UEFI kötü amaçlı yazılım örneği ortaya çıkarıldı. MozaikRegresör, FinFisher, ve ESPekter.
MoonBounce birkaç nedenden dolayı endişe vericidir. EFI Sistem Bölümünü hedefleyen FinFisher ve ESPecter'ın aksine (ESP), LoJax ve MosaicRegressor gibi yeni keşfedilen rootkit, SPI flaşı, sabit sürücüye harici kalıcı bir depolama.
Bu tür son derece kalıcı bootkit kötü amaçlı yazılımları, bir bilgisayarın ana kartına lehimlenmiş SPI flash depolama alanına yerleştirilmiştir, bu da sabit disk değiştirme yoluyla kurtulmayı etkin bir şekilde imkansız hale getirir ve hatta işletim sisteminin yeniden kurulmasına karşı dirençli hale getirir.
Rus siber güvenlik şirketi, geçen yıl tek bir olayda ürün yazılımı rootkit'inin varlığını tespit ettiğini ve bu, saldırının yüksek oranda hedeflenen doğasının göstergesi olduğunu söyledi. Bununla birlikte, UEFI ürün yazılımının bulaştığı kesin mekanizma belirsizliğini koruyor.
Görünmezliğine ek olarak, önyükleme sırasının yürütme akışını enjekte eden kötü niyetli bir "bulaşma zincirine" yönlendirmek amacıyla, görüntüye yeni bir sürücü eklemek yerine davranışını değiştirmek için mevcut bir üretici yazılımı bileşeninin kurcalanması gerçeğidir. sistem başlatma sırasında kullanıcı modundaki kötü amaçlı yazılım, daha sonra bir sonraki aşama yükünü almak için sabit kodlanmış bir uzak sunucuya ulaşır.
"Bileşenleri yalnızca bellekte çalıştığından, enfeksiyon zincirinin kendisi sabit diskte herhangi bir iz bırakmaz, böylece küçük bir ayak izi ile dosyasız bir saldırıyı kolaylaştırır", araştırmacılar, hedeflenen diğer UEFI olmayan implantları ortaya çıkardığını da sözlerine ekledi. evreleme yükünü barındıran aynı altyapıyla iletişim kuran ağ.
Ağdaki birden çok düğüme dağıtılan bu bileşenlerin başlıcaları arasında ScrambleCross (diğer adıyla ScrambleCross) olarak izlenen bir arka kapı bulunur. Yaya geçidi) ve bir dizi istismar sonrası kötü amaçlı yazılım implantasyonu, saldırganların belirli makinelerden veri sızdırmak için ilk erişim sağladıktan sonra yanal hareket gerçekleştirdiğini düşündürür.
Bu tür bellenim düzeyindeki değişikliklere karşı koymak için, UEFI bellenimini düzenli olarak güncellemeniz ve aşağıdakiler gibi korumaları etkinleştirmeniz önerilir. Önyükleme Koruması, Güvenli önyüklemeve Güven Platformu Modülleri (TPM).
“MoonBounce, öncekilere kıyasla daha karmaşık bir saldırı akışı ve UEFI önyükleme sürecinde yer alan daha ince ayrıntıları tam olarak anladığını gösteren yazarları tarafından daha yüksek düzeyde teknik yeterlilik sunarak bu tehdit grubunda belirli bir evrimi işaret ediyor, ” dedi araştırmacılar.
Kaynak: https://thehackernews.com/2022/01/chinese-hackers-spotted-using-new-uefi.html
