Piratas detectados utilizando nuevo implante de firmware UEFI en ataques diridos

Iniciado por Dragora, Enero 23, 2022, 08:45:27 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Un implante de firmware previamente no documentado implementado para mantener la persistencia sigilosa como parte de una campaña de espionaje dirigida ha sido vinculado al grupo de amenazas persistentes avanzadas Winnti de habla china ( APT41 ).

Kaspersky, que denominó en código al rootkit MoonBounce , caracterizó el malware como el "implante de firmware UEFI más avanzado descubierto en la naturaleza hasta la fecha", y agregó que "el propósito del implante es facilitar la implementación de malware en modo de usuario que organiza la ejecución de más cargas útiles". descargado de Internet".

Los rootkits basados ​​en firmware, que alguna vez fueron una rareza en el panorama de las amenazas, se están convirtiendo rápidamente en herramientas lucrativas entre los actores sofisticados para ayudar a lograr un punto de apoyo duradero de una manera que no solo es difícil de detectar, sino también difícil de eliminar.

El primer rootkit a nivel de firmware, denominado LoJax , se descubrió en la naturaleza en 2018. Desde entonces, hasta ahora se han descubierto tres instancias diferentes de malware UEFI, incluidos MosaicRegressor , FinFisher y ESPecter .


MoonBounce es preocupante por varias razones. A diferencia de FinFisher y ESPecter, que apuntan a la partición del sistema EFI ( ESP ), el rootkit recién descubierto, junto con LoJax y MosaicRegressor, apunta al flash SPI , un almacenamiento no volátil externo al disco duro.


Al colocar un malware bootkit altamente persistente dentro del almacenamiento flash que está soldado a la placa base de una computadora, el mecanismo hace que sea imposible deshacerse de él mediante el reemplazo del disco duro e incluso resistente a la reinstalación del sistema operativo.

La compañía rusa de ciberseguridad dijo que identificó la presencia del rootkit de firmware en un solo incidente el año pasado, lo que indica la naturaleza altamente dirigida del ataque. Dicho esto, el mecanismo exacto por el cual se infectó el firmware UEFI sigue sin estar claro.

A su sigilo se suma el hecho de que un componente de firmware existente fue manipulado para alterar su comportamiento, en lugar de agregar un nuevo controlador a la imagen, con el objetivo de desviar el flujo de ejecución de la secuencia de arranque a una secuencia de ataque malicioso que inyecta al usuario malware en modo durante el inicio del sistema, que luego llega a un servidor remoto codificado para recuperar la carga útil de la siguiente etapa.

"La cadena de infección en sí no deja ningún rastro en el disco duro, ya que sus componentes funcionan solo en la memoria, lo que facilita un ataque sin archivos con una huella pequeña", señalaron los investigadores, y agregaron que descubrieron otros implantes no UEFI en el objetivo. red comunicándose con la misma infraestructura que alojó la carga útil de ensayo.


Entre los principales componentes implementados en varios nodos de la red se incluyen una puerta trasera rastreada como ScrambleCross (también conocido como Crosswalk ) y una serie de implantes de malware posteriores a la explotación como Microcin y Mimikat_ssp, lo que sugiere que los atacantes realizaron un movimiento lateral después de obtener un acceso inicial para poder extraer datos de máquinas específicas.

Para contrarrestar dichas modificaciones a nivel de firmware, se recomienda actualizar regularmente el firmware UEFI y habilitar protecciones como Boot Guard , Secure boot y Trust Platform Modules ( TPM ).

La firma de seguridad cibernética Binarly, en un análisis independiente, señaló que el componente UEFI de MoonBounce se creó para un hardware de destino relacionado con un sistema MSI de 2014, y que el malware podría haberse entregado a la máquina comprometida ya sea a través del acceso físico o mediante modificaciones de software resultantes. de la falta de protecciones SPI adecuadas.

"MoonBounce marca una evolución particular en este grupo de amenazas al presentar un flujo de ataque más complicado en comparación con sus predecesores y un mayor nivel de competencia técnica por parte de sus autores, quienes demuestran una comprensión profunda de los detalles más finos involucrados en el proceso de arranque UEFI. " dijeron los investigadores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta