Inicio Tecnología Moonbounce, el bootkit de firmware asignado al grupo chino APT41, demuestra que...

Moonbounce, el bootkit de firmware asignado al grupo chino APT41, demuestra que las reglas de seguridad para Windows 11 son legítimas

34
0

Dichos implantes son muy difíciles de quitar y tienen una visibilidad limitada para los productos de seguridad. Apareciendo por primera vez en la primavera de 2021, MoonBounce demuestra un flujo de ataque sofisticado, con un progreso evidente en comparación con los bootkits de firmware UEFI informados anteriormente.

Los investigadores de Kaspersky atribuyeron el ataque con cierto grado de credibilidad al conocido actor APT41.

El firmware UEFI es un componente crítico de la mayoría de los dispositivos, y su código es el que enciende los dispositivos y transfiere el control al software que carga el sistema operativo. Este código está en lo que se llama memoria flash SPI, un medio de almacenamiento no volátil fuera del disco duro. Si este firmware contiene código malicioso, este código se lanzará antes que el sistema operativo, lo que hará que el malware implantado por un bootkit de firmware sea particularmente difícil de eliminar; no se puede eliminar simplemente reformateando un disco duro o reinstalando un sistema operativo.

Además, debido a que el código se encuentra fuera del disco duro, la actividad de dichos bootkits prácticamente no es detectada por la mayoría de las soluciones de seguridad, a menos que tengan una función que escanee específicamente esta parte del dispositivo.

MoonBounce es solo el tercer bootkit UEFI informado que se lanzará. Apareció en la primavera de 2021 y fue detectado por primera vez por los investigadores de Kaspersky al analizar la actividad de su Firmware Scanner, que se incluyó en los productos de Kaspersky a principios de 2019 para detectar específicamente amenazas ocultas en la BIOS ROM, incluidas las imágenes de firmware UEFI. En comparación con los dos bootkits descubiertos anteriormente, LoJax y MosaicRegressor, MoonBounce ha logrado un progreso significativo, con un flujo de ataque más complicado y una técnica mucho más sofisticada.

El implante se encuentra en el componente CORE_DXE del firmware que se llama antes durante la secuencia de arranque de UEFI. Luego, a través de una serie de ganchos que interceptan ciertas funciones, partes del implante se abren camino hacia el sistema operativo, desde donde se comunican con un servidor de comando y control para descargar aún más componentes maliciosos. Vale la pena señalar que la cadena de infección en sí no deja rastros en el disco duro, ya que sus componentes funcionan solo en la memoria, lo que facilita un ataque sin archivos con una huella pequeña.

Leer:  Huawei, junto con All Digital y EY, ha lanzado un estudio sobre habilidades digitales en la Unión Europea

Al analizar MoonBounce, los investigadores de Kaspersky descubrieron varios cargadores maliciosos y malware posterior a la explotación en varios nodos de la misma red. Estos incluyen ScrambleCross o Sidewalk, un implante de memoria que puede comunicarse con un servidor C2 para intercambiar información y ejecutar complementos adicionales, Mimikat_ssp, una herramienta de post-explotación disponible públicamente que se usa para descargar credenciales y secretos de seguridad, una puerta trasera previamente desconocida basada en Golang, y Microcin, malware que suele utilizar el actor de amenazas SixLittleMonkeys.

Se desconoce el vector exacto de la infección; sin embargo, se cree que la infección se produce a través del acceso remoto al equipo objetivo. Además, mientras que LoJax y MosaicRegressor usaron adiciones de controladores DXE, MoonBounce modifica un componente de firmware existente para un ataque más sutil y encubierto.

En la campaña general contra la red en cuestión, era obvio que los atacantes llevaron a cabo una amplia gama de acciones, como archivar archivos y recopilar información sobre la red. Los comandos utilizados por los atacantes durante su actividad sugieren que estaban interesados ​​en el movimiento lateral y la fuga de datos, y dado que se utilizó un implante UEFI, es probable que los atacantes estuvieran interesados ​​en el espionaje.

Los investigadores de Kaspersky han atribuido a MoonBounce un grado considerable de confianza en el atacante APT41, un conocido actor de habla china que ha llevado a cabo campañas de ciberespionaje y ciberdelincuencia en todo el mundo desde al menos 2012. Además, la existencia de algunos de los mencionados el malware en la misma red sugiere una posible conexión entre APT41 y otros actores de amenazas de habla china.

Hasta ahora, el bootkit de firmware solo se ha encontrado en un caso. Sin embargo, se encontraron otras muestras de afiliados maliciosos (por ejemplo, ScrambleCross y sus cargadores) en las redes de varias otras víctimas.

“Aunque no podemos decir con certeza acerca de los implantes de malware adicionales encontrados durante nuestra investigación de MoonBounce, parece que algunos actores de amenazas de habla china se están ayudando entre sí con herramientas en sus diversas campañas; Parece haber una conexión de baja confianza entre MoonBounce y Microcin».dice Denis Legezo, investigador sénior de GReAT.

Leer:  Subastan foto original del astronauta Buzz Aldrin en la luna por 7.700 dólares

«Simplemente vino a nuestro conocimiento entonces kit de arranque UEFI muestra el mismo progreso notable en comparación con MosaicRegressor, que hemos estado informando desde 2020. De hecho, convertir un componente central del firmware que antes era benigno en uno que pueda facilitar la implementación de malware en el sistema es una innovación sin precedentes hasta el momento. en kit de arranqueFirmware comparable y hace que la amenaza sea mucho más difícil de detectar. Hemos predicho desde 2018 que las amenazas UEFI ganarán popularidad, y esta tendencia parece estar materializándose. No nos sorprendería encontrar más bootkits en 2022. Afortunadamente, los proveedores han comenzado a prestar más atención a los ataques de firmware y se están adoptando lentamente más tecnologías de seguridad de firmware, como BootGuard y Trusted Platform Modules».comenta Mark Lechtik, investigador sénior del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky.

Para obtener más detalles sobre el análisis de MoonBounce, el informe completo está disponible en Securelist.

Para mantenerse a salvo de los bootkits UEFI como MoonBounce, Kaspersky recomienda:

  • Proporcione a su equipo SOC acceso a la información más reciente sobre amenazas (TI). Kaspersky Threat Intelligence Portal es el único punto de acceso de TI de la empresa, que proporciona datos e información sobre ciberataques recopilados por Kaspersky durante más de 20 años.

  • Para la detección de endpoints, la investigación oportuna y la resolución de problemas, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.

  • Utilice un producto de seguridad de punto final complejo que pueda detectar el uso de firmware, como Kaspersky Endpoint Security for Business.

  • Actualice su firmware UEFI regularmente y use solo firmware de proveedores confiables.

  • Habilite el arranque seguro de forma predeterminada, especialmente BootGuard y TPM, cuando corresponda.

Si te gusta este artículo, esperamos unirte a la comunidad de lectores en nuestra página de Facebook, con un Me gusta a continuación:

Artículo anteriorRedmi Watch 2 Lite y Redmi Buds 3 Lite están disponibles en Rumania. especificaciones y precios
Artículo siguienteEl Ministro de Trabajo alemán afirma que el aumento del salario mínimo no provocará despidos masivos. ¿Cuántas personas se beneficiarán de esta medida?
Tras una licenciatura en economía, un máster en gestión estratégica y 18 meses de viaje por todo el mundo, empecé a trabajar como redactor de páginas web.