MoonBounce Malware
2021年の春に、標的を絞った攻撃の一部として、新しいUEFIインプラントの脅威が出現しました。 MoonBounceとして追跡された攻撃と脅威の分析は、Securelistによって公開されたレポートでリリースされました。研究者は、感染が標的のコンピュータシステムのファームウェアイメージの単一のコンポーネントの変更を伴うことを発見しました。
そうすることで、攻撃者はデバイスのブートシーケンスの意図された実行フローを傍受し、代わりに高度な感染チェーンを開始することができました。決定的なものではありませんが、MoonBounceが中国と関係があると考えられているAPT(Advanced Persistent Threat)グループAPT41に接続されていることを示す複数の要因があります。
MoonBounceの詳細
MoonBounceの脅威は、感染したデバイスのSPIフラッシュを悪用するため、特にステルスです。 SPIは、シリアルペリフェラルインターフェイスの略で、シリアルフラッシュデバイスなどのさまざまなデバイス間の通信を容易にするためのシリアルプロトコルです。その結果、MoonBounceインプラントは、システムのハードドライブに存在する必要性を完全に回避します。
さらに、任意のディスクフォーマットまたはディスク交換を通じて存続できます。感染チェーンは全体として、完全にファイルレスで完全にメモリ内で実行されるため、痕跡をほとんど残しません。 MoonBounceの脅威の主な目的は、ユーザーモードのマルウェアの配信を可能にすることです。ユーザーモードのマルウェアは、インターネットからフェッチされた追加の次のステージのペイロードの展開を担当します。
