https://thehackernews.com/2022/01/chinese-hackers-spotted-using-new-uefi.html
ルートキットMoonBounceのコード名を付けたKasperskyは、マルウェアを「これまでに発見された最も高度なUEFIファームウェアインプラント」として特徴づけ、「インプラントの目的は、ダウンロードされた追加のペイロードの実行を段階的に実行するユーザーモードマルウェアの展開を容易にすることです。インターネットから」
最初のファームウェアレベルのルートキット(LoJaxと呼ばれる)は2018年に実際に発見されました。
それ以来、MosaicRegressor、FinFisher、ESPecterを含む3つの異なるUEFIマルウェアのインスタンスが発掘されています。
EFIシステムパーティション(ESP)を狙うFinFisherやESPecterとは異なり、新しく発見されたルートキットは、LoJaxやMosaicRegressorなどに沿って、ハードドライブの外部にある不揮発性ストレージであるSPIフラッシュを対象としています。
「感染チェーン自体は、そのコンポーネントがメモリ内でのみ動作するため、ハードドライブに痕跡を残さないため、小さなフットプリントでファイルレス攻撃を容易にします」と研究者は指摘し、ターゲットネットワーク内の他の非UEFIインプラントを発見したと付け加えました。
サイバーセキュリティ会社のBinarlyは、独立した分析で、MoonBounce UEFIコンポーネントは2014年からMSIシステムに関連するターゲットハードウェア用に構築されており、マルウェアは物理的なアクセスまたはソフトウェアの変更によって侵入先のマシンに配信された可能性があると指摘しました。
標的型攻撃で新しいUEFIファームウェアインプラントを使用して発見された中国のハッカー、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント