Il più Raffinato Impianto Firmware UEFI: Rilevamento di MoonBounce
Indice:
Un nuovo impianto dannoso nel firmware UEFI recentemente scoperto, chiamato “MoonBounce”, sta devastando in natura. Si ritiene che la minaccia sia opera del gruppo di hacker APT41 di lingua cinese, noto anche come Double Dragon o Winnti. Questo rootkit UEFI è destinato a provocare scompiglio, avendo già ottenuto il titolo di più furtivo di tutti gli attacchi precedenti di questo tipo. Il fatto che sia gestito dal famigerato APT41, che presumibilmente ha legami governativi, non facilita la situazione nemmeno per i professionisti della sicurezza.
Attacchi Segnalati Simili a MoonBounce
MoonBounce è il terzo noto malware diffuso attraverso un bootkit UEFI trovato in natura. I suoi predecessori, famosi campioni denominati LoJax e MosaicRegressor, hanno dimostrato il loro potenziale pericoloso come strumenti altamente efficienti per l’attuazione rapida e difficilmente tracciabile degli attacchi informatici. Innanzitutto, un’introduzione in sintesi sull’UEFI. L’abbreviazione sta per Unified Extensible Firmware Interface, che è una tecnologia moderna integrata nei chip posizionati su una scheda madre. Progettato per sostituire il vecchio BIOS (pur essendo ancora compatibile con esso), l’UEFI affronta una serie di sue limitazioni ed è comunemente utilizzato per facilitare la sequenza di avvio della macchina e caricare il sistema operativo. L’UEFI è finito nel mirino degli avversari come un obiettivo molto redditizio che consente attacchi altamente persistenti.
Il novizio MoonBounce segna un traguardo significativo nell’evoluzione di un rootkit UEFI, arrivando con una catena di attacco ben pensata e un flusso di esecuzione convincente. Sul lato positivo, questo tipo di infezione è piuttosto mirato e, con gli strumenti di sicurezza e la strategia adeguati, può essere protetto.
Esecuzione di MoonBounce
Scoperto dai cacciatori di minacce di Kaspersky Lab nel 2021, questo malware avanzato e difficile da rilevare è noto per funzionare nella memoria flash SPI del dispositivo bersaglio. Un’infestazione riuscita consente agli attori della minaccia di mettere le mani sulla sequenza di avvio della macchina infetta, aggiungendo modifiche dannose al firmware UEFI legittimo. Una macchina infetta da MoonBounce ha un impianto che persiste in un formato di unità e funziona solo in memoria, diventando quindi non rintracciabile sull’HDD. La catena di infezione porta all’iniezione di malware in un processo svchost.exe all’avvio del computer nel sistema operativo. Di conseguenza, il codice dannoso viene distribuito, consentendo agli hacker di scaricare ed eseguire altri payload.
Essere in grado di eseguire codice dannoso in una fase così precoce del processo di inizializzazione è una buona notizia per la parte oscura, ossia gli hacker. Data l’assenza di soluzioni di prevenzione efficienti che funzionano a quel livello, come un antivirus o software di rilevamento delle intrusioni, ottengono un vantaggio non appena nel sistema.
Rilevamento e Mitigazione dell’Attacco MoonBounce
Mentre questa nuova minaccia furtiva avanza nel suo percorso per compromettere il firmware UEFI, incoraggiamo le organizzazioni a dotarsi e cercare anomalie che dimostrino di essere state compromesse per proteggersi da scritture non autorizzate sulla memoria flash SPI del sistema. Per identificare possibili attacchi e rimediare a un compromesso basato sul firmware UEFI, optare per il download di un batch di regole Sigma gratuite. Il contenuto è stato rilasciato dai nostri appassionati sviluppatori di Threat Bounty Emir Erdogan, Kaan Yeniyol, Kyaw Pyiyt Htet, e dal Team SOC Prime.
Rilevamento di APT41 StealthMutant Loader (via Cmdline)
Rileva StealthMutant Loader (Attacco MoonBounce)
Rileva Malware MoonBounce nel Firmware UEFI (via Scheduled Task Event)
Indicatori di Rete del Bootkit MoonBounce Firmware (via dns)
Indicatori di Rete del Bootkit MoonBounce Firmware (via proxy)
Queste rilevazioni hanno traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix e Open Distro.
L’elenco completo delle rilevazioni di MoonBounce nel repository del Threat Detection Marketplace della piattaforma SOC Prime è disponibile qui.
Registrati gratuitamente alla piattaforma Detection as Code di SOC Prime per rilevare le ultime minacce all’interno del tuo ambiente di sicurezza, migliorare la copertura delle sorgenti di log e del MITRE ATT&CK, e potenziare complessivamente le capacità di difesa informatica dell’organizzazione. Hai grandi ambizioni nella cybersecurity? Unisciti al nostro programma Threat Bounty, sviluppa le tue regole Sigma e ottieni ricompense ricorrenti per il tuo prezioso contributo!
