Piratas informáticos chinos detectados utilizando el nuevo implante de firmware UEFI en ataques dirigidos

UEFI Firmware-implantaat Noticias

Un implante de firmware previamente no documentado implementado para mantener la persistencia sigilosa como parte de una campaña de espionaje dirigida se ha relacionado con el grupo de amenazas persistentes avanzadas Winnti de habla china (APT41).

Kaspersky, que nombró en código al rootkit Rebote Lunar, caracterizado el malware como el «más avanzado UEFI implante de firmware descubierto en la naturaleza hasta la fecha», y agregó que «el propósito del implante es facilitar la implementación de malware en modo de usuario que organiza la ejecución de más cargas útiles descargadas de Internet».

Los rootkits basados ​​en firmware, que alguna vez fueron una rareza en el panorama de las amenazas, se están convirtiendo rápidamente en herramientas lucrativas entre los actores sofisticados para ayudar a lograr un punto de apoyo duradero de una manera que no solo es difícil de detectar, sino también difícil de eliminar.

El primer rootkit a nivel de firmware, denominado LoJax, se descubrió en la naturaleza en 2018. Desde entonces, hasta ahora se han descubierto tres instancias diferentes de malware UEFI, incluidos MosaicRegressor, FinFisher y ESPecter.

Implantación de firmware UEFI

MoonBounce es preocupante por varias razones. A diferencia de FinFisher y ESPecter, que apuntan a la partición del sistema EFI (ESP), el rootkit recién descubierto, junto con LoJax y MosaicRegressor, tiene como objetivo el Flash SPIun almacenamiento no volátil externo al disco duro.

Implantación de firmware UEFI

Este malware bootkit altamente persistente se coloca dentro del almacenamiento flash SPI que está soldado a la placa base de una computadora, lo que hace que sea imposible deshacerse de él mediante el reemplazo del disco duro e incluso resistente a la reinstalación del sistema operativo.

La compañía rusa de ciberseguridad dijo que identificó la presencia del rootkit de firmware en un solo incidente el año pasado, lo que indica la naturaleza altamente dirigida del ataque. Dicho esto, el mecanismo exacto por el cual se infectó el firmware UEFI sigue sin estar claro.

A su sigilo se suma el hecho de que un componente de firmware existente fue manipulado para alterar su comportamiento, en lugar de agregar un nuevo controlador a la imagen, con el objetivo de desviar el flujo de ejecución de la secuencia de arranque a una «cadena de infección» maliciosa que inyecta el malware en modo de usuario durante el inicio del sistema, que luego llega a un servidor remoto codificado para recuperar la carga útil de la siguiente etapa.

«La cadena de infección en sí no deja ningún rastro en el disco duro, ya que sus componentes funcionan solo en la memoria, lo que facilita un ataque sin archivos con una huella pequeña», señalaron los investigadores, y agregaron que descubrieron otros implantes no UEFI en el objetivo. red comunicándose con la misma infraestructura que alojó la carga útil de ensayo.

Implantación de firmware UEFI

Entre los principales componentes implementados en varios nodos de la red se incluyen una puerta trasera rastreada como ScrambleCross (también conocido como Crosswalk) y una serie de implantes de malware posteriores a la explotación, lo que sugiere que los atacantes realizaron un movimiento lateral después de obtener un acceso inicial para extraer datos de sitios específicos. máquinas.

Para contrarrestar dichas modificaciones a nivel de firmware, se recomienda actualizar regularmente el firmware UEFI y habilitar protecciones como Protector de arranque, Arranque seguroy módulos de plataforma de confianza (TPM).

«MoonBounce marca una evolución particular en este grupo de amenazas al presentar un flujo de ataque más complicado en comparación con sus predecesores y un mayor nivel de competencia técnica por parte de sus autores, quienes demuestran una comprensión profunda de los detalles más finos involucrados en el proceso de arranque UEFI. » dijeron los investigadores.

David
Rate author
Hackarizona