Việc cấy ghép phần mềm cơ sở không có tài liệu trước đây được triển khai để duy trì tính bền bỉ lén lút như một phần của chiến dịch gián điệp có mục tiêu đã được liên kết với nhóm mối đe dọa dai dẳng nâng cao Winnti nói tiếng Trung (APT41).
Kaspersky, tên mã của rootkit Mặt trăngBounce, đặc trưng phần mềm độc hại là “tiên tiến nhất UEFI quá trình cấy ghép phần sụn được phát hiện trong tự nhiên cho đến nay, ”nói thêm“ mục đích của việc cấy ghép là để tạo điều kiện thuận lợi cho việc triển khai phần mềm độc hại ở chế độ người dùng mà giai đoạn thực thi các trọng tải tiếp theo được tải xuống từ internet. ”
Các rootkit dựa trên phần mềm cơ sở, từng rất hiếm trong bối cảnh mối đe dọa, đang nhanh chóng trở thành công cụ sinh lợi giữa các tác nhân tinh vi để giúp đạt được chỗ đứng lâu dài theo cách không chỉ khó phát hiện mà còn khó xóa bỏ.
Bộ rootkit cấp phần sụn đầu tiên - được lồng tiếng LoJax - được phát hiện trong tự nhiên vào năm 2018. Kể từ đó, ba trường hợp phần mềm độc hại UEFI khác nhau đã được khai quật cho đến nay, bao gồm KhảmRegressor, ngư dân vây cávà especter.
MoonBounce đang lo lắng vì một số lý do. Không giống như FinFisher và ESPecter, nhằm vào Phân vùng hệ thống EFI (ESP), rootkit mới được phát hiện - cùng với LoJax và MosaicRegressor - nhắm mục tiêu đèn nháy SPI, một bộ lưu trữ bất biến gắn ngoài ổ cứng.
Phần mềm độc hại bootkit liên tục cao như vậy được đặt trong bộ nhớ flash SPI được hàn vào bo mạch chủ của máy tính, khiến nó không thể bị loại bỏ thông qua thay thế ổ cứng và thậm chí có khả năng chống cài đặt lại hệ điều hành.
Công ty an ninh mạng của Nga cho biết họ đã xác định được sự hiện diện của rootkit phần sụn trong một sự cố duy nhất vào năm ngoái, cho thấy tính chất nhắm mục tiêu cao của cuộc tấn công. Điều đó nói rằng, cơ chế chính xác mà phần sụn UEFI bị nhiễm vẫn chưa rõ ràng.
Thêm vào tính lén lút của nó là thực tế là một thành phần phần sụn hiện có đã bị giả mạo để thay đổi hành vi của nó - thay vì thêm trình điều khiển mới vào hình ảnh - với mục tiêu chuyển hướng luồng thực thi của trình tự khởi động thành một "chuỗi lây nhiễm" độc hại. phần mềm độc hại ở chế độ người dùng trong quá trình khởi động hệ thống, sau đó sẽ tiếp cận máy chủ từ xa được mã hóa cứng để truy xuất tải trọng ở giai đoạn tiếp theo.
Các nhà nghiên cứu lưu ý: “Bản thân chuỗi lây nhiễm không để lại bất kỳ dấu vết nào trên ổ cứng, vì các thành phần của nó chỉ hoạt động trong bộ nhớ, do đó tạo điều kiện cho một cuộc tấn công phi mã với một dấu vết nhỏ,” các nhà nghiên cứu lưu ý và nói thêm rằng nó đã phát hiện ra các mô cấy không phải UEFI khác trong mục tiêu mạng giao tiếp với cùng một cơ sở hạ tầng lưu trữ tải trọng theo giai đoạn.
Đứng đầu trong số các thành phần được triển khai trên nhiều nút trong mạng bao gồm một cửa sau được theo dõi là ScrambleCross (hay còn gọi là Băng qua đường) và một số cấy ghép phần mềm độc hại sau khai thác, cho thấy rằng những kẻ tấn công đã thực hiện chuyển động ngang sau khi có được quyền truy cập ban đầu để lấy dữ liệu từ các máy cụ thể.
Để chống lại các sửa đổi cấp phần sụn như vậy, bạn nên thường xuyên cập nhật phần sụn UEFI cũng như bật các biện pháp bảo vệ như Bảo vệ khởi động, khởi động an toànvà Mô-đun Nền tảng Tin cậy (TPM).
“MoonBounce đánh dấu một sự tiến hóa cụ thể trong nhóm các mối đe dọa này bằng cách trình bày luồng tấn công phức tạp hơn so với những người tiền nhiệm và trình độ kỹ thuật cao hơn của các tác giả của nó, những người thể hiện sự hiểu biết thấu đáo về các chi tiết tốt hơn liên quan đến quá trình khởi động UEFI, ”Các nhà nghiên cứu cho biết.
Nguồn: https://thehackernews.com/2022/01/chinese-hackers-spotted-using-new-uefi.html
