Home Technologia Moonbounce, il firmware bootkit assegnato al gruppo cinese APT41, mostra che le...

Moonbounce, il firmware bootkit assegnato al gruppo cinese APT41, mostra che le regole di sicurezza per Windows 11 sono legittime

117
0

Tali impianti sono molto difficili da rimuovere e hanno una visibilità limitata per i prodotti di sicurezza. Apparendo in natura per la prima volta nella primavera del 2021, MoonBounce dimostra un sofisticato flusso di attacco, con evidenti progressi rispetto ai bootkit del firmware UEFI precedentemente riportati.

I ricercatori di Kaspersky hanno attribuito all’attacco un certo grado di credibilità al noto attore APT41.

Il firmware UEFI è un componente critico della maggior parte dei dispositivi e il suo codice è quello che accende i dispositivi e trasferisce il controllo al software che carica il sistema operativo. Questo codice si trova in quella che viene chiamata memoria flash SPI, un supporto di memorizzazione non volatile esterno al disco rigido. Se questo firmware contiene codice dannoso, questo codice verrà rilasciato prima del sistema operativo, rendendo particolarmente difficile l’eliminazione del malware impiantato da un bootkit del firmware; non può essere rimosso semplicemente riformattando un disco rigido o reinstallando un sistema operativo.

Inoltre, poiché il codice si trova all’esterno del disco rigido, l’attività di tali bootkit rimane praticamente inosservata dalla maggior parte delle soluzioni di sicurezza, a meno che non dispongano di una funzione che scansiona specificamente questa parte del dispositivo.

MoonBounce è solo il terzo bootkit UEFI segnalato ad essere rilasciato. È apparso nella primavera del 2021 ed è stato rilevato per la prima volta dai ricercatori Kaspersky durante l’analisi dell’attività del loro Firmware Scanner, incluso nei prodotti Kaspersky all’inizio del 2019 per rilevare in modo specifico le minacce nascoste nel BIOS.ROM, comprese le immagini del firmware UEFI. Rispetto ai due bootkit scoperti in precedenza, LoJax e MosaicRegressor, MoonBounce ha fatto progressi significativi, con un flusso di attacco più complicato e una tecnica molto più sofisticata.

L’impianto si trova nel componente CORE_DXE del firmware che viene chiamato in anticipo durante la sequenza di avvio UEFI. Quindi, tramite una serie di hook, che intercettano determinate funzioni, parti dell’impianto si fanno strada nel sistema operativo, da dove comunicano con un server di comando e controllo per scaricare componenti ancora più dannosi. Vale la pena notare che la stessa catena di infezione non lascia tracce sul disco rigido, poiché i suoi componenti funzionano solo in memoria, facilitando così un attacco fileless con un ingombro ridotto.

Read:   Un aggiornamento di Signal ti consente di modificare il tuo numero di telefono senza perdere le conversazioni esistenti

Analizzando MoonBounce, i ricercatori di Kaspersky hanno scoperto diversi caricatori dannosi e malware post-exploit in più nodi della stessa rete. Questi includono ScrambleCross o Sidewalk, un impianto di memoria in grado di comunicare con un server C2 per scambiare informazioni ed eseguire plug-in aggiuntivi, Mimikat_ssp, uno strumento di post-sfruttamento disponibile pubblicamente utilizzato per scaricare credenziali e segreti di sicurezza, una backdoor precedentemente sconosciuta basata su Golang, e Microcin, malware comunemente utilizzato dall’attore di minacce SixLittleMonkeys.

L’esatto vettore dell’infezione rimane sconosciuto, tuttavia si pensa che l’infezione avvenga attraverso l’accesso remoto all’apparecchiatura di destinazione. Inoltre, mentre LoJax e MosaicRegressor utilizzavano aggiunte di driver DXE, MoonBounce modifica un componente firmware esistente per un attacco più sottile e nascosto.

Nella campagna generale contro la rete in questione, era evidente che gli aggressori svolgevano un’ampia gamma di azioni, come l’archiviazione di file e la raccolta di informazioni sulla rete. I comandi utilizzati dagli aggressori durante la loro attività suggeriscono che fossero interessati al movimento laterale e alla fuga di dati e, dato che è stato utilizzato un impianto UEFI, è probabile che gli aggressori fossero interessati allo spionaggio.

I ricercatori di Kaspersky hanno attribuito a MoonBounce un notevole grado di fiducia nei confronti dell’attaccante APT41, un noto attore di lingua cinese che ha condotto campagne di spionaggio informatico e criminalità informatica in tutto il mondo almeno dal 2012. Inoltre, l’esistenza di alcuni dei suddetti malware nella stessa rete suggerisce una possibile connessione tra APT41 e altri attori di minacce di lingua cinese.

Finora, il bootkit del firmware è stato trovato solo in un caso. Tuttavia, altri campioni di affiliati dannosi (ad esempio, ScrambleCross e i suoi caricatori) sono stati trovati nelle reti di molte altre vittime.

“Anche se non possiamo dire con certezza sugli impianti di malware aggiuntivi trovati durante la nostra ricerca MoonBounce, sembra che alcuni attori di minacce di lingua cinese si stiano aiutando a vicenda con strumenti nelle loro varie campagne; Sembra esserci una connessione di scarsa fiducia tra MoonBounce e Microcin”., afferma Denis Legezo, ricercatore senior di GReAT.

Read:   Amber apre un nuovo studio di sviluppo di videogiochi a Kiev

“Allora è semplicemente venuto alla nostra attenzione bootkit UEFI mostra gli stessi notevoli progressi rispetto a MosaicRegressor, che riportiamo dal 2020. In effetti, trasformare un componente principale del firmware precedentemente benigno in uno che può facilitare l’implementazione di malware nel sistema è un’innovazione senza precedenti. in bootkitFirmware comparabile e rende la minaccia molto più difficile da rilevare. Abbiamo previsto dal 2018 che le minacce UEFI guadagneranno popolarità e questa tendenza sembra concretizzarsi. Non saremmo sorpresi di trovare più bootkit nel 2022. Fortunatamente, i fornitori hanno iniziato a prestare maggiore attenzione agli attacchi al firmware e vengono adottate più lentamente tecnologie di sicurezza del firmware, come BootGuard e Trusted Platform Modules”., commenta Mark Lechtik, ricercatore senior Global Research and Analysis Team (GReAT) di Kaspersky.

Per maggiori dettagli sull’analisi MoonBounce, il rapporto completo è disponibile su Securelist.

Per stare al sicuro dai bootkit UEFI come MoonBounce, Kaspersky consiglia:

  • Concedi al tuo team SOC l’accesso alle ultime informazioni sulle minacce (IT). Kaspersky Threat Intelligence Portal è l’unico punto di accesso IT dell’azienda, che fornisce dati e informazioni sugli attacchi informatici raccolti da Kaspersky per oltre 20 anni.

  • Per il rilevamento degli endpoint, l’analisi tempestiva e la risoluzione dei problemi, implementa soluzioni EDR come Kaspersky Endpoint Detection and Response.

  • Utilizza un prodotto per la sicurezza degli endpoint complesso in grado di rilevare l’uso del firmware, come Kaspersky Endpoint Security for Business.

  • Aggiorna regolarmente il firmware UEFI e utilizza solo firmware di fornitori affidabili.

  • Abilita l’avvio protetto per impostazione predefinita, in particolare BootGuard e TPM, ove appropriato.

Se ti piace questo articolo, non vediamo l’ora di entrare a far parte della community di lettori sulla nostra pagina Facebook, con un Like qui sotto:

Articolo precedenteChe film vuole fare Penelope Cruz con suo marito? Come Javier Bardem l’ha tentata
Articolo successivoIl ministro del Lavoro tedesco sostiene che l’aumento del salario minimo non porterà a massicci esuberi. Quante persone beneficeranno di questa misura