MoonBounce, il nuovo firmware bootkit scoperto da Kaspersky
di Alberto Falchi pubblicata il 25 Gennaio 2022, alle 15:51 nel canale SecurityIl malware MoonBouce si nasconde all'interno della memoria flash SPI del firmware ed è particolarmente difficile da rilevare. Secondo i ricercatori di Kaspersky è da attribuire ad APT41, gruppo di hacker che scaglia i suoi attacchi dalla Cina
Moonbounce è un nuovo malware individuato dai ricercatori di Kaspersky, un bootkit che si insedia nel firmware UEFI ed è stato rilevato la prima volta nel 2021. È alla base di attacchi molto sofisticati e, secondo l'azienda, le campagne di attacchi basate su questo malware sono da attribuire ad APT41, gruppo di hacker di lingua cinese attivo dal 2012.
Moonbounce, un nuovo malware che si nasconde nel firmware del computer
I cybercriminaii evolvono costantemente le loro strategie di attacco e i loro strumenti, cercando di stare sempre un passo avanti ai responsabili di sicurezza delle aziende. Negli ultimi anni alcuni gruppi hanno iniziato a nascondere i loro malware all'interno del firmware UEFI dei computer, nello specifico nella memoria flash SPI. Così facendo, risulta più facile nascondere le proprie tracce, dal momento che il virus non viene scritto sull'hard disk. Inserendo un malware nel firmware, sarà possibiei attivarlo prima che venga caricato il sistema operativo, eludendo le difese e soprattutto garantendo la persistenza: se anche venisse riformattato o sostituito l'hard disk, infatti, il malware non verrebbe cancellato.
Recentemente i ricercatori di Kaspersky hanno scoperto un nuovo malware che si installa nel firmware, MoonBounce, il terzo di questa tipologia fra quelli noti, dopo LoJax e MosaicRegressor. Moonbounce è più evoluto rispetto a queste due minacce. MoonBounce viene installato nel componente CORE_DXE del firmware e, una volta attivato, comunica con un server C&C dal quale poi scarica i payload dannosi.
Kaspersky ha scoperto diversi loader malevoli e malware usati in fase di post-exploitation su diversi nodi della stessa rete. Tra questi ScrambleCross o Sidewalk, un impianto in-memory che può comunicare con un server C2 per scambiare informazioni ed eseguire plugin aggiuntivi; Mimikat_ssp, uno strumento post-exploitation pubblicamente disponibile utilizzato per fare il download di credenziali e informazioni di sicurezza, una backdoor basata su Golang precedentemente sconosciuta; Microcin, un malware tipicamente usato dal threat actor SixLittleMonkeys.
Come viene diffuso MoonBounce?
Ancora non è chiaro quali vettori siano utilizzati per diffondere questo malware, ma Kaspersky sospetta che venga installato accedendo da remoto alle macchine delle vittime. Una peculiarità di questa minaccia è che modifica anche una componente del firmware stesso, così da renderne ancora più difficile l'identificazione. Secondo i ricercatori, che hanno analizzato una campagna di attacco condotta tramite questo malware, al momento MoonBouce è utilizzato per introdursi clandestinamente all'interno di reti aziendali e sottrarre dati a fini di spionaggio.
Ma chi c'è dietro? Secondo la multinazionale di cybersecurity, a condurre attacchi usando MoonBounce è APT41, un gruppo di hacker che parlano lungua cinese, attivo dal 2012 e specializzato in campagne di cyber-spionaggio. La presenza di altri malware nella stessa rete, però, lascia supporre una connessione fra APT41 e altri attaccanti, sempre di lingua cinese.
"Nonostante non si possano collegare in modo definitivo gli impianti di malware aggiuntivi trovati durante la nostra indagine relativa a MoonBounce, sembra che alcuni threat actor di lingua cinese stiano condividendo tra loro strumenti per sostenere le loro varie campagne; in particolare sembra esserci una connessione tra MoonBounce e Microcin", spiega Denis Legezo, senior security researcher with GReAT.
"Quest'ultimo bootkit UEFI mostra gli stessi notevoli progressi rispetto a MosaicRegressor che abbiamo segnalato nel 2020", commenta Mark Lechtik, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky. " Infatti, la trasformazione di un componente centrale del firmware precedentemente benigno in uno che possa facilitare la distribuzione del malware sul sistema è un'innovazione mai vista nei precedenti bootkit firmware comparabili in the wild e rende la minaccia molto più furtiva. Avevamo previsto nel 2018 che le minacce UEFI avrebbero guadagnato popolarità, e questa tendenza sembra materializzarsi. Non ci sorprenderebbe trovare ulteriori bootkit nel 2022. Fortunatamente, i vendor hanno iniziato a prestare maggiore attenzione agli attacchi al firmware e vengono adottate sempre più tecnologie di sicurezza del firmware, come BootGuard e Trusted Platform Modules".
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoNon parliamo poi di IME (di fatto un rootkit "made in Intel" che potenzialmente è ad una chiave crittografica di distanza da un cyberdisastro mondiale).
Non me ne intendo, ma una volta coi bios tradizionali i rootkit da bios non c'eramo (a quanto ne so). Più c'è interazione (bidirezionale) col SO, più l'uefi-bios diventa complesso, più ci si espone ad attacchi. E una volta preso il controllo del bios anche i (finti) sistemi di sicurezza (secure boot, tpm) possono essere aggirati o forse anche usati contro di noi.
Una volta il bios si flashava da floppy o usb e basta, poi si è iniziato a sovrascriverlo da Windows, poi a interagire con windows, ecc.
Il tutto in nome di una più facile interazione, ma il bios non deve essere bello o facile ecc, per utonti insomma, deve essere una base solida sicura e basta.
Insomma, si stava meglio quando si stava peggio.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".