Inicio Noticias Moonbounce, el bootkit de firmware asignado al grupo chino APT41, demuestra que...

Moonbounce, el bootkit de firmware asignado al grupo chino APT41, demuestra que las reglas de seguridad para Windows 11 son legítimas

59
0

Dichos implantes son muy difíciles de quitar y tienen una visibilidad limitada para los productos de seguridad. Apareciendo por primera vez en la primavera de 2021, MoonBounce demuestra un flujo de ataque sofisticado, con un progreso evidente en comparación con los bootkits de firmware UEFI informados anteriormente.

Los investigadores de Kaspersky atribuyeron el ataque con cierto grado de credibilidad al conocido actor APT41.

El firmware UEFI es un componente crítico de la mayoría de los dispositivos, y su código es el que enciende los dispositivos y transfiere el control al software que carga el sistema operativo. Este código está en lo que se llama memoria flash SPI, un medio de almacenamiento no volátil fuera del disco duro. Si este firmware contiene código malicioso, este código se lanzará antes que el sistema operativo, lo que hará que el malware implantado por un bootkit de firmware sea particularmente difícil de eliminar; no se puede eliminar simplemente reformateando un disco duro o reinstalando un sistema operativo.

Además, debido a que el código se encuentra fuera del disco duro, la actividad de dichos bootkits prácticamente no es detectada por la mayoría de las soluciones de seguridad, a menos que tengan una función que escanee específicamente esta parte del dispositivo.

MoonBounce es solo el tercer bootkit UEFI informado que se lanzará. Apareció en la primavera de 2021 y fue detectado por primera vez por los investigadores de Kaspersky al analizar la actividad de su Firmware Scanner, que se incluyó en los productos de Kaspersky a principios de 2019 para detectar específicamente amenazas ocultas en la BIOS ROM, incluidas las imágenes de firmware UEFI. En comparación con los dos bootkits descubiertos anteriormente, LoJax y MosaicRegressor, MoonBounce ha logrado un progreso significativo, con un flujo de ataque más complicado y una técnica mucho más sofisticada.

El implante se encuentra en el componente CORE_DXE del firmware que se llama antes durante la secuencia de arranque de UEFI. Luego, a través de una serie de ganchos que interceptan ciertas funciones, partes del implante se abren camino hacia el sistema operativo, desde donde se comunican con un servidor de comando y control para descargar aún más componentes maliciosos. Vale la pena señalar que la cadena de infección en sí no deja rastros en el disco duro, ya que sus componentes funcionan solo en la memoria, lo que facilita un ataque sin archivos con una huella pequeña.

Leer:  realme lanza la tableta realme 9 4G, realme 9 5G y realme Pad Mini en Europa

Al analizar MoonBounce, los investigadores de Kaspersky descubrieron varios cargadores maliciosos y malware posterior a la explotación en varios nodos de la misma red. Estos incluyen ScrambleCross o Sidewalk, un implante de memoria que puede comunicarse con un servidor C2 para intercambiar información y ejecutar complementos adicionales, Mimikat_ssp, una herramienta de post-explotación disponible públicamente que se usa para descargar credenciales y secretos de seguridad, una puerta trasera previamente desconocida basada en Golang, y Microcin, malware que suele utilizar el actor de amenazas SixLittleMonkeys.

Se desconoce el vector exacto de la infección; sin embargo, se cree que la infección se produce a través del acceso remoto al equipo objetivo. Además, mientras que LoJax y MosaicRegressor usaron adiciones de controladores DXE, MoonBounce modifica un componente de firmware existente para un ataque más sutil y encubierto.

En la campaña general contra la red en cuestión, era obvio que los atacantes llevaron a cabo una amplia gama de acciones, como archivar archivos y recopilar información sobre la red. Los comandos utilizados por los atacantes durante su actividad sugieren que estaban interesados ​​en el movimiento lateral y la fuga de datos, y dado que se utilizó un implante UEFI, es probable que los atacantes estuvieran interesados ​​en el espionaje.

Los investigadores de Kaspersky han atribuido a MoonBounce un grado considerable de confianza en el atacante APT41, un conocido actor de habla china que ha llevado a cabo campañas de ciberespionaje y ciberdelincuencia en todo el mundo desde al menos 2012. Además, la existencia de algunos de los mencionados el malware en la misma red sugiere una posible conexión entre APT41 y otros actores de amenazas de habla china.

Hasta ahora, el bootkit de firmware solo se ha encontrado en un caso. Sin embargo, se encontraron otras muestras de afiliados maliciosos (por ejemplo, ScrambleCross y sus cargadores) en las redes de varias otras víctimas.

“Aunque no podemos decir con certeza acerca de los implantes de malware adicionales encontrados durante nuestra investigación de MoonBounce, parece que algunos actores de amenazas de habla china se están ayudando entre sí con herramientas en sus diversas campañas; Parece haber una conexión de baja confianza entre MoonBounce y Microcin».dice Denis Legezo, investigador sénior de GReAT.

Leer:  El príncipe Andrew, que está siendo investigado por agresión sexual a un menor, ha cerrado sus cuentas de redes sociales. La Casa Real cada vez está más lejana

«Simplemente vino a nuestro conocimiento entonces kit de arranque UEFI muestra el mismo progreso notable en comparación con MosaicRegressor, que hemos estado informando desde 2020. De hecho, convertir un componente central del firmware que antes era benigno en uno que pueda facilitar la implementación de malware en el sistema es una innovación sin precedentes hasta el momento. en kit de arranqueFirmware comparable y hace que la amenaza sea mucho más difícil de detectar. Hemos predicho desde 2018 que las amenazas UEFI ganarán popularidad, y esta tendencia parece estar materializándose. No nos sorprendería encontrar más bootkits en 2022. Afortunadamente, los proveedores han comenzado a prestar más atención a los ataques de firmware y se están adoptando lentamente más tecnologías de seguridad de firmware, como BootGuard y Trusted Platform Modules».comenta Mark Lechtik, investigador sénior del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky.

Para obtener más detalles sobre el análisis de MoonBounce, el informe completo está disponible en Securelist.

Para mantenerse a salvo de los bootkits UEFI como MoonBounce, Kaspersky recomienda:

  • Proporcione a su equipo SOC acceso a la información más reciente sobre amenazas (TI). Kaspersky Threat Intelligence Portal es el único punto de acceso de TI de la empresa, que proporciona datos e información sobre ciberataques recopilados por Kaspersky durante más de 20 años.

  • Para la detección de endpoints, la investigación oportuna y la resolución de problemas, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.

  • Utilice un producto de seguridad de punto final complejo que pueda detectar el uso de firmware, como Kaspersky Endpoint Security for Business.

  • Actualice su firmware UEFI regularmente y use solo firmware de proveedores confiables.

  • Habilite el arranque seguro de forma predeterminada, especialmente BootGuard y TPM, cuando corresponda.

Si te gusta este artículo, esperamos unirte a la comunidad de lectores en nuestra página de Facebook, con un Me gusta a continuación:

Artículo anteriorQueen King está pasando por momentos terribles. El hijo de la actriz se suicidó a los 26 años
Artículo siguienteUna vacuna COVID al año es la solución ideal, dice el jefe de Pfizer. Cuando piensa que el mundo volverá a una vida normal.
Ingeniero mecánico de formación, trabajé en la industria durante 10 años, sobre todo en el sector nuclear. Llevo varios años trabajando como redactor web, utilizando mis conocimientos técnicos para escribir artículos sobre temas específicos, como las finanzas,