ЛунаОтскок

MoonBounce — это руткит на основе прошивки UEFI . Он связан с китайской APT41 хакерской группой . MoonBounce был обнаружен исследователями Касперского в 2021 году. ^[1] Он может отключить инструменты безопасности Windows и обойти контроль учетных записей пользователей . ^[2]

Данные показывают, что атаки являются узконаправленными. ^[3] Это веха в эволюции руткитов UEFI. ^[4] Это третий известный обнаруженный вредоносный буткит UEFI.

Инфекция

«Лаборатория Касперского» обнаружила руткит прошивки только в одном случае, поэтому о методе заражения ничего не рассказала. Предполагается, что он был установлен удаленно. ^[5]

Флэш-память SPI на материнской плате является местом имплантации. CORE_DXE — это встроенный в микропрограмму компонент, который используется на первых этапах последовательности загрузки UEFI. Он перехватывает функции служб загрузки EFI и внедряет больше вредоносного ПО в процесс svchost.exe во время загрузки. ^[6]

Он находится на нижнем уровне жесткого диска. Он работает только в памяти, поэтому его невозможно обнаружить на жестком диске . ^[7]

Ссылки

^ «Новое вредоносное ПО MoonBounce UEFI, используемое APT41 в целевых атаках» . Мигающий компьютер . Архивировано из оригинала 17 января 2023 г. Проверено 21 марта 2024 г.
^ Юсаф, Мансур (18 сентября 2023 г.). «Вредоносное ПО MoonBounce UEFI Bootkit» . Пропелекс . Архивировано из оригинала 25 сентября 2023 г. Проверено 21 марта 2024 г.
^ Компьютерная графика (06 февраля 2022 г.), Компьютер 1, неделя: PCStation, выпуск 1109 (на китайском языке).
^ Олинийчук, Дарина (14 марта 2023 г.). «Обнаружение буткита UEFI BlackLotus: использует CVE-2022-21894 для обхода безопасной загрузки UEFI и отключает механизмы безопасности ОС» . СОК Прайм . Архивировано из оригинала 31 марта 2023 г. Проверено 21 марта 2024 г.
^ Полина, Адам (14 ноября 2023 г.). «Запуск вредоносного ПО под ОС — состояние использования встроенного ПО UEFI» . Бинарная защита . Архивировано из оригинала 9 декабря 2023 г. Проверено 21 марта 2024 г.
^ «MoonBounce: темная сторона прошивки UEFI» . Securelist.com . 20 января 2022 г. Архивировано из оригинала 1 февраля 2024 г. Проверено 21 марта 2024 г.
^ Юрченко Алла (25 января 2022 г.). «Самая совершенная имплантация прошивки UEFI: обнаружение MoonBounce» . СОК Прайм . Архивировано из оригинала 3 июня 2023 г. Проверено 21 марта 2024 г.

[1] «Новое вредоносное ПО MoonBounce UEFI, используемое APT41 в целевых атаках» . Мигающий компьютер . Архивировано из оригинала 17 января 2023 г. Проверено 21 марта 2024 г.

[2] Юсаф, Мансур (18 сентября 2023 г.). «Вредоносное ПО MoonBounce UEFI Bootkit» . Пропелекс . Архивировано из оригинала 25 сентября 2023 г. Проверено 21 марта 2024 г.

[3] Компьютерная графика (06 февраля 2022 г.), Компьютер 1, неделя: PCStation, выпуск 1109 (на китайском языке).

[4] Олинийчук, Дарина (14 марта 2023 г.). «Обнаружение буткита UEFI BlackLotus: использует CVE-2022-21894 для обхода безопасной загрузки UEFI и отключает механизмы безопасности ОС» . СОК Прайм . Архивировано из оригинала 31 марта 2023 г. Проверено 21 марта 2024 г.

[5] Полина, Адам (14 ноября 2023 г.). «Запуск вредоносного ПО под ОС — состояние использования встроенного ПО UEFI» . Бинарная защита . Архивировано из оригинала 9 декабря 2023 г. Проверено 21 марта 2024 г.

[6] «MoonBounce: темная сторона прошивки UEFI» . Securelist.com . 20 января 2022 г. Архивировано из оригинала 1 февраля 2024 г. Проверено 21 марта 2024 г.

[7] Юрченко Алла (25 января 2022 г.). «Самая совершенная имплантация прошивки UEFI: обнаружение MoonBounce» . СОК Прайм . Архивировано из оригинала 3 июня 2023 г. Проверено 21 марта 2024 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]