El implante de firmware UEFI más refinado: Detección de MoonBounce
Tabla de contenidos:
Un nuevo implante malicioso de firmware UEFI denominado «MoonBounce» está causando estragos en el entorno. Se cree que la amenaza es obra de una banda de hackers de habla china, APT41, también conocida como Double Dragon o Winnti. Este rootkit UEFI está configurado para causar un gran impacto, habiendo obtenido ya el título de ser el más sigiloso de todos los ataques anteriores de este tipo. El hecho de que esté dirigido por el notorio APT41, que supuestamente tiene vínculos gubernamentales, tampoco relaja la situación para los profesionales de la seguridad.
Ataques reportados como MoonBounce
MoonBounce es la tercera entrega de malware ampliamente conocida a través de bootkits UEFI encontrados en el entorno. Sus predecesores, muestras notorias etiquetadas como LoJax y MosaicRegressor, han demostrado su potencial peligroso como herramientas altamente eficientes para la implementación rápida y difícilmente rastreable de ciberataques. Primero, una introducción a UEFI en pocas palabras. La abreviatura significa Interfaz de Firmware Extensible Unificada, que es una tecnología moderna incrustada en los chips colocados en una placa base. Diseñada para reemplazar el BIOS heredado (aunque todavía compatible con él), UEFI aborda una serie de sus limitaciones y se utiliza comúnmente para facilitar la secuencia de arranque de la máquina y cargar el sistema operativo. UEFI ha sido identificado en el radar de los adversarios como un objetivo muy lucrativo que permite ataques altamente persistentes.
El nuevo MoonBounce marca un hito significativo en la evolución de los rootkits UEFI, viniendo con una cadena de eliminación cuidadosamente pensada y un flujo de ejecución convincente. En el lado positivo, este tipo de infección es bastante dirigida, y con las herramientas de seguridad adecuadas y la estrategia correcta, se puede proteger contra ella.
Ejecución de MoonBounce
Descubierto por cazadores de amenazas en Kaspersky Lab en 2021, este malware avanzado y difícil de detectar se sabe que funciona en la memoria flash SPI del dispositivo objetivo. La plantación exitosa permite a los actores de amenazas controlar la secuencia de inicio de la máquina infectada, agregando modificaciones dañinas al firmware UEFI legítimo. Una máquina infectada con MoonBounce tiene un implante que persiste en un formato de disco y solo opera en la memoria, volviéndose así imposible de rastrear en el disco duro. La cadena de infección lleva a la inyección de malware en un proceso svchost.exe al iniciar la computadora en el sistema operativo. Como resultado, se despliega el código malicioso, permitiendo a los hackers soltar y ejecutar cargas adicionales.
Poder ejecutar código malicioso en una fase tan temprana del proceso de inicialización es una gran noticia para el lado oscuro, también conocidos como hackers. Dada la ausencia de cualquier solución de prevención eficiente que funcione a ese nivel, como un antivirus o software de detección de intrusiones, obtienen una ventaja una vez dentro del sistema.
Detección y mitigación de ataques MoonBounce
A medida que esta nueva amenaza sigilosa avanza su camino hacia comprometer el firmware UEFI, alentamos a las organizaciones a equiparse y buscar anomalías que demuestren que han sido comprometidas para protegerse de escrituras no autorizadas en la memoria flash SPI del sistema. Para identificar posibles ataques y remediar un compromiso basado en firmware UEFI, opte por descargar un lote de reglas Sigma gratuitas. El contenido fue liberado por nuestros ávidos desarrolladores de Threat Bounty Emir Erdogan, Kaan Yeniyol, Kyaw Pyiyt Htet, y el equipo de SOC Prime.
Detección del cargador StealthMutant de APT41 (vía Cmdline)
Detectar cargador StealthMutant (Ataque MoonBounce)
Detectar malware MoonBounce en firmware UEFI (vía Evento de Tarea Programada)
Indicadores de red del bootkit de firmware MoonBounce (vía dns)
Indicadores de red del bootkit de firmware MoonBounce (vía proxy)
Estas detecciones tienen traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix y Open Distro.
La lista completa de detecciones de MoonBounce en el repositorio del marketplace de detección de amenazas de la plataforma SOC Prime está disponible aquí.
Regístrese gratis en la plataforma de Detección como Código de SOC Prime para detectar las últimas amenazas dentro de su entorno de seguridad, mejorar la fuente de registros y la cobertura MITRE ATT&CK, y en general, potenciar las capacidades de defensa cibernética de la organización. ¿Tienes grandes ambiciones en ciberseguridad? ¡Únete a nuestro programa Threat Bounty, desarrolla tus propias reglas Sigma y obtén recompensas recurrentes por tu valiosa contribución!
