https://www.zdnet.com/article/chinese-apt-deploy-moonbounce-malware-in-uefi-firmware/#ftag=RSSbaffb68
このインプラントは、WinntiまたはDoubleDragonとしても知られる中国語を話す洗練されたハッキンググループであるAPT41の作品であると考えられています。
ファームウェアを微調整した結果、削除が非常に困難なレベルで永続化されただけでなく、攻撃者がファームウェアイメージを変更して、マシンのブートシーケンスの元の実行フローを傍受できるようにしたとチームは述べています。
この多段階のフックチェーンにより、システムの起動時にCOREDXEイメージから他のブートコンポーネントへの悪意のあるコードの伝播が容易になり、Windowsカーネルのメモリアドレス空間に悪意のあるドライバーを導入できるようになります。
Kasperskyによると、この単一のパッチにより、UEFIファームウェアは、システム内のマルウェア用の非常にステルスで永続的なストレージになりました。
ただし、攻撃者が使用したのと同じインフラストラクチャと通信するScrambleCross / SideWalkマルウェアを含む、非UEFIインプラントが標的のネットワークで見つかりました。
この進行中の軍拡競争では、UEFIに対する攻撃が増え続け、攻撃者は進化し、現在のセキュリティ対策を悪用して回避する方法を見つけていると評価しています。
中国のAPTがMoonBounceインプラントをUEFIファームウェアに導入
security summary
コメント