MoonBounce, il nuovo firmware bootkit scoperto da Kaspersky

Moonbounce è un nuovo malware individuato dai ricercatori di Kaspersky, un bootkit che si insedia nel firmware UEFI ed è stato rilevato la prima volta nel 2021. È alla base di attacchi molto sofisticati e, secondo l'azienda, le campagne di attacchi basate su questo malware sono da attribuire ad APT41, gruppo di hacker di lingua cinese attivo dal 2012. 

Moonbounce, un nuovo malware che si nasconde nel firmware del computer

I cybercriminaii evolvono costantemente le loro strategie di attacco e i loro strumenti, cercando di stare sempre un passo avanti ai responsabili di sicurezza delle aziende. Negli ultimi anni alcuni gruppi hanno iniziato a nascondere i loro malware all'interno del firmware UEFI dei computer, nello specifico nella memoria flash SPI. Così facendo, risulta più facile nascondere le proprie tracce, dal momento che il virus non viene scritto sull'hard disk. Inserendo un malware nel firmware, sarà possibiei attivarlo prima che venga caricato il sistema operativo, eludendo le difese e soprattutto garantendo la persistenza: se anche venisse riformattato o sostituito l'hard disk, infatti, il malware non verrebbe cancellato. 

Recentemente i ricercatori di Kaspersky hanno scoperto un nuovo malware che si installa nel firmware, MoonBounce, il terzo di questa tipologia fra quelli noti, dopo LoJax e MosaicRegressor. Moonbounce è più evoluto rispetto a queste due minacce. MoonBounce viene installato nel componente CORE_DXE del firmware e, una volta attivato, comunica con un server C&C dal quale poi scarica i payload dannosi.

Kaspersky ha scoperto diversi loader malevoli e malware usati in fase di post-exploitation su diversi nodi della stessa rete. Tra questi ScrambleCross o Sidewalk, un impianto in-memory che può comunicare con un server C2 per scambiare informazioni ed eseguire plugin aggiuntivi; Mimikat_ssp, uno strumento post-exploitation pubblicamente disponibile utilizzato per fare il download di credenziali e informazioni di sicurezza, una backdoor basata su Golang precedentemente sconosciuta; Microcin, un malware tipicamente usato dal threat actor SixLittleMonkeys.

Come viene diffuso MoonBounce?

Ancora non è chiaro quali vettori siano utilizzati per diffondere questo malware, ma Kaspersky sospetta che venga installato accedendo da remoto alle macchine delle vittime. Una peculiarità di questa minaccia è che modifica anche una componente del firmware stesso, così da renderne ancora più difficile l'identificazione. Secondo i ricercatori, che hanno analizzato una campagna di attacco condotta tramite questo malware, al momento MoonBouce è utilizzato per introdursi clandestinamente all'interno di reti aziendali e sottrarre dati a fini di spionaggio. 

Ma chi c'è dietro? Secondo la multinazionale di cybersecurity, a condurre attacchi usando MoonBounce è APT41, un gruppo di hacker che parlano lungua cinese, attivo dal 2012 e specializzato in campagne di cyber-spionaggio. La presenza di altri malware nella stessa rete, però, lascia supporre una connessione fra APT41 e altri attaccanti, sempre di lingua cinese. 

"Nonostante non si possano collegare in modo definitivo gli impianti di malware aggiuntivi trovati durante la nostra indagine relativa a MoonBounce, sembra che alcuni threat actor di lingua cinese stiano condividendo tra loro strumenti per sostenere le loro varie campagne; in particolare sembra esserci una connessione tra MoonBounce e Microcin", spiega Denis Legezo, senior security researcher with GReAT.

"Quest'ultimo bootkit UEFI mostra gli stessi notevoli progressi rispetto a MosaicRegressor che abbiamo segnalato nel 2020", commenta Mark Lechtik, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky. " Infatti, la trasformazione di un componente centrale del firmware precedentemente benigno in uno che possa facilitare la distribuzione del malware sul sistema è un'innovazione mai vista nei precedenti bootkit firmware comparabili in the wild e rende la minaccia molto più furtiva. Avevamo previsto nel 2018 che le minacce UEFI avrebbero guadagnato popolarità, e questa tendenza sembra materializzarsi. Non ci sorprenderebbe trovare ulteriori bootkit nel 2022. Fortunatamente, i vendor hanno iniziato a prestare maggiore attenzione agli attacchi al firmware e vengono adottate sempre più tecnologie di sicurezza del firmware, come BootGuard e Trusted Platform Modules".