Kaspersky ha scoperto il terzo caso di un firmware bootkit in the wild

Soprannominato MoonBounce, si nasconde nel firmware UEFI (Unified Extensible Firmware Interface).

bootkit

Scoperto da Kaspersky il terzo caso del firmware bootkit in the wild. Chiamato anche MoonBounce dimostra un flusso di attacco sofisticato. Questo impianto malevolo si nasconde nel firmware UEFI (Unified Extensible Firmware Interface). Una parte essenziale dei computer, all’interno della memoria flash SPI, un componente di archiviazione esterno al disco rigido.

Kaspersky ha scoperto il terzo caso di un firmware bootkit in the wild

Tali impianti sono notoriamente difficili da rilevare e rimuovere. Apparso per la prima volta nella primavera del 2021 in the wild, MoonBounce dimostra un flusso di attacco sofisticato, con evidenti progressi rispetto ai bootkit UEFI precedentemente segnalati. I ricercatori Kaspersky hanno attribuito la campagna al noto threat actor di minacce avanzate e persistenti APT41.

Dove si trova il firmware UEFI

Il firmware UEFI è un componente critico nella stragrande maggioranza delle macchine. Il suo codice, infatti, è responsabile dell’avvio del dispositivo e del passaggio del controllo al software che carica il sistema operativo. Questo codice si trova nella cosiddetta flash SPI, una memoria non volatile esterna al disco rigido. Nel caso in cui questo firmware contenesse codice dannoso, questo verrebbe lanciato prima del sistema operativo. Rendendo il malware impiantato dal bootkit firmware particolarmente difficile da eliminare.

Come rimuoverlo dal computer

Non può, infatti, essere rimosso semplicemente riformattando il disco rigido o reinstallando il sistema operativo. Inoltre, poiché il codice si trova al di fuori del disco rigido, l’attività di questi bootkit non viene rilevata dalla maggior parte delle soluzioni di sicurezza. A meno che non abbiano una funzione che analizza specificamente questa parte del dispositivo. MoonBounce è solo il terzo bootkit UEFI rilevato in the wild.

bootkit

MoonBounce, un firmware bootkit in the wild

È apparso nella primavera del 2021 ed è stato scoperto per la prima volta dai ricercatori di Kaspersky analizzando l’attività del Firmware Scanner dell’azienda. Incluso nei prodotti Kaspersky all’inizio del 2019 per rilevare specificamente le minacce che si nascondono nella ROM del BIOS. Comprese le immagini del firmware UEFI. Rispetto ai due bootkit scoperti in precedenza, LoJax e MosaicRegressor, MoonBounce dimostra un progresso significativo con un flusso di attacco più complicato.

Dove si trova

L’impianto si trova nel componente CORE_DXE del firmware, che viene chiamato all’inizio della sequenza di avvio UEFI. In seguito, attraverso una serie di hook che intercettano alcune funzioni, i componenti dell’impianto si fanno strada nel sistema operativo. Qui raggiungono un server di comando e controllo al fine di recuperare ulteriori payload dannosi. È importante sottolineare che la catena di infezione non lascia alcuna traccia sul disco rigido. Infatti i suoi componenti operano solo nella memoria, facilitando così un attacco senza file con una piccola impronta.

Le scoperte su MoonBounce di Kaspersky

Durante le indagini su MoonBounce, Kaspersky ha scoperto diversi loader malevoli e malware usati in fase di post-exploitation su diversi nodi della stessa rete. Tra questi ScrambleCross o Sidewalk, un impianto in-memory che può comunicare con un server C2 per scambiare informazioni ed eseguire plugin aggiuntivi. Mimikat_ssp, uno strumento post-exploitation pubblicamente disponibile utilizzato per fare il download di credenziali e informazioni di sicurezza. Poi una backdoor basata su Golang precedentemente sconosciuta, e Microcin, un malware tipicamente usato dal threat actor SixLittleMonkeys.

Terzo caso di un firmware bootkit in the wild

Kaspersky ha attribuito MoonBounce al gruppo APT41, segnalato come threat actor di lingua cinese che ha condotto campagne di cyber-spionaggio e criminalità informatica in tutto il mondo dal 2012. Inoltre, l’esistenza di alcuni dei suddetti malware nella stessa rete suggerisce una possibile connessione tra APT41 e altri threat actor di lingua cinese. Finora, il bootkit del firmware è stato trovato solo in un singolo caso. Tuttavia, altri campioni malevoli affiliati (ad esempio ScrambleCross e i suoi loader) sono stati trovati sulle reti di diverse altre vittime.