Các thợ săn mối đe dọa tại Kaspersky đã phát hiện ra một kẻ tấn công APT nổi tiếng của Trung Quốc đang sử dụng bộ cấy UEFI để duy trì khả năng hoạt động lén lút trong quá trình khởi động lại, định dạng ổ đĩa hoặc thay thế ổ đĩa.
Phát hiện này là một xác nhận khác rằng các tác nhân đe dọa đỉnh cao đã triển khai phần mềm độc hại khó phát hiện bên dưới hệ điều hành và kết nối với tác nhân APT Trung Quốc là một dấu hiệu đáng ngại việc cấy ghép chương trình cơ sở có thể đã phổ biến.
Phân tích kỹ thuật chi tiết (tải về PDF) từ nhóm nghiên cứu toàn cầu của Kaspersky ghi lại phần cấy ghép chương trình cơ sở UEFI 'MoonBounce' và kết nối của nó với APT41 (còn được gọi là Winnti), một tác nhân đe dọa nghiêm trọng được biết là thực hiện hoạt động gián điệp do nhà nước Trung Quốc bảo trợ.
Các nhà nghiên cứu của Kaspersky cho biết sự xâm phạm dưới hệ điều hành ban đầu được gắn cờ bởi công nghệ quét phần mềm được tích hợp vào các sản phẩm của mình để phát hiện các dấu hiệu lây nhiễm rootkit. Khi kiểm tra, các nhà nghiên cứu phát hiện ra rằng một thành phần duy nhất trong hình ảnh phần sụn đã bị kẻ tấn công sửa đổi theo cách cho phép chúng chặn luồng thực thi ban đầu của trình tự khởi động của máy và tạo ra một chuỗi lây nhiễm tinh vi.
[ ĐỌC: Phần mềm gián điệp giám sát FinSpy được trang bị bộ khởi động UEFI ]
Vector lây nhiễm UEFI ban đầu vẫn chưa được xác định nhưng Kaspersky đã phát hiện ra rằng kẻ tấn công đã thêm shellcode độc hại và trình điều khiển chế độ kernel vào một phần mới được tạo trong hình ảnh phần sụn bị xâm nhập để chiếm dụng quy trình khởi động của máy bị nhiễm.
Kaspersky cho biết trong báo cáo: “Do được đặt trên flash SPI nằm trên bo mạch chủ thay vì đĩa cứng, bộ cấy có khả năng tồn tại trong hệ thống thông qua việc định dạng hoặc thay thế ổ đĩa”.
Các nhà nghiên cứu cho biết mục đích của việc cấy ghép là để quản lý việc triển khai phần mềm độc hại ở chế độ người dùng, thực hiện các giai đoạn thực thi các tải trọng tiếp theo được tải xuống từ internet.
Kaspersky lưu ý: “Bản thân chuỗi lây nhiễm không để lại bất kỳ dấu vết nào trên ổ cứng, vì các thành phần của nó chỉ hoạt động trong bộ nhớ, do đó tạo điều kiện cho một cuộc tấn công không dùng tệp với dấu vết nhỏ”, Kaspersky lưu ý và cảnh báo rằng các phần cấy ghép không phải UEFI khác đã được phát hiện trong mạng mục tiêu. giao tiếp với cùng cơ sở hạ tầng đã lưu trữ tải trọng dàn dựng.
[ ĐỌC: ESET phát hiện UEFI Bootkit trong chiến dịch gián điệp mạng ]
Kaspersky cho biết dữ liệu phát hiện toàn cầu của họ cho thấy cuộc tấn công được nhắm mục tiêu cực kỳ nghiêm ngặt và được nhìn thấy trong một trường hợp đơn độc, đồng thời cho biết mục tiêu nhắm mục tiêu tương ứng với một tổ chức kiểm soát một số doanh nghiệp kinh doanh công nghệ vận tải.
Phát hiện MoonBounce là trường hợp được ghi nhận công khai thứ ba về việc cấy rootkit dựa trên phần mềm cơ sở. Mới năm ngoái, các nhà nghiên cứu đã tìm thấy dấu hiệu Công cụ phần mềm gián điệp giám sát FinSpy được trang bị bộ khởi động UEFI và ESET tìm thấy khả năng tương tự trong một chiến dịch gián điệp mạng.
“MoonBounce đánh dấu một bước phát triển cụ thể trong nhóm mối đe dọa này bằng cách đưa ra luồng tấn công phức tạp hơn so với các phiên bản trước và trình độ năng lực kỹ thuật cao hơn của các tác giả, những người thể hiện sự hiểu biết thấu đáo về các chi tiết tốt hơn liên quan đến quá trình khởi động UEFI, ” Kaspersky cho biết.
Như một biện pháp an toàn chống lại cuộc tấn công này và các cuộc tấn công tương tự, Kaspersky khuyến nghị người dùng nên cập nhật chương trình cơ sở UEFI thường xuyên và xác minh rằng BootGuard, nếu có, đã được bật.
Công ty cũng đề xuất kích hoạt Mô-đun nền tảng tin cậy và triển khai một sản phẩm bảo mật cung cấp khả năng hiển thị hình ảnh chương trình cơ sở.
Liên quan: Phần mềm gián điệp giám sát FinSpy được trang bị bộ khởi động UEFI
Liên quan: ESET phát hiện UEFI Bootkit trong chiến dịch gián điệp mạng
Liên quan: Microsoft: Các cuộc tấn công phần mềm vượt xa đầu tư bảo mật
Liên quan: SonicWall cảnh báo về các cuộc tấn công ransomware nhắm vào lỗ hổng phần sụn
Ryan Naraine là Tổng biên tập tại SecurityWeek và là người dẫn chương trình nổi tiếng Cuộc trò chuyện bảo mật Những kênh của những chuỗi bài nghe chọn lọc. Ông là nhà báo và chiến lược gia an ninh mạng với hơn 20 năm kinh nghiệm về các xu hướng công nghệ và bảo mật CNTT.
Ryan đã xây dựng các chương trình tham gia bảo mật tại các thương hiệu toàn cầu lớn, bao gồm Intel Corp., Bishop Fox và Kaspersky GReAT. Ông là đồng sáng lập của Threatpost và chuỗi hội nghị SAS toàn cầu. Sự nghiệp của Ryan với tư cách là một nhà báo bao gồm các nội dung phụ tại các ấn phẩm công nghệ lớn bao gồm Ziff Davis eWEEK, ZDNet của CBS Interactive, PCMag và PC World.
Ryan là giám đốc của tổ chức phi lợi nhuận Security Tinkerers và là diễn giả thường xuyên tại các hội nghị bảo mật trên toàn thế giới.
Theo dõi Ryan trên Twitter @ryanaraine.
tags: Nguồn: https://www.securityweek.com/prolific-chinese-apt-caught-USE-moonbounce-uefi-firmware-implant
