Cookie Consent by Free Privacy Policy website Kaspersky: scoperto terzo bootkit del firmware più sfuggente e più persistente
gennaio 20, 2022 - Kaspersky Lab

Kaspersky: scoperto terzo bootkit del firmware più sfuggente e più persistente

I ricercatori di #Kaspersky hanno scoperto il terzo caso di un firmware bootkit in the wild. Soprannominato MoonBounce, questo impianto malevolo si nasconde nel firmware UEFI (Unified Extensible Firmware Interface), una parte essenziale dei computer, all’interno della memoria flash SPI, un componente di archiviazione esterno al disco rigido. Tali impianti sono notoriamente difficili da rilevare e rimuovere. Apparso per la prima volta nella primavera del 2021 in the wild, MoonBounce dimostra un flusso di attacco sofisticato, con evidenti progressi rispetto ai bootkit UEFI precedentemente segnalati. I ricercatori #Kaspersky hanno attribuito la campagna al noto threat actor di minacce avanzate e persistenti APT41.

Il firmware UEFI è un componente critico nella stragrande maggioranza delle macchine; il suo codice, infatti, è responsabile dell'avvio del dispositivo e del passaggio del controllo al #software che carica il sistema operativo. Questo codice si trova nella cosiddetta flash SPI, una memoria non volatile esterna al disco rigido. Nel caso in cui questo firmware contenesse codice dannoso, questo verrebbe lanciato prima del sistema operativo, rendendo il malware impiantato dal bootkit firmware particolarmente difficile da eliminare. Non può, infatti, essere rimosso semplicemente riformattando il disco rigido o reinstallando il sistema operativo. Inoltre, poiché il codice si trova al di fuori del disco rigido, l'attività di questi bootkit non viene rilevata dalla maggior parte delle soluzioni di sicurezza, a meno che non abbiano una funzione che analizza specificamente questa parte del dispositivo.

MoonBounce è solo il terzo bootkit UEFI rilevato in the wild. È apparso nella primavera del 2021 ed è stato scoperto per la prima volta dai ricercatori di #Kaspersky analizzando l'attività del Firmware Scanner dell’azienda, incluso nei prodotti #Kaspersky all'inizio del 2019 per rilevare specificamente le minacce che si nascondono nella ROM del BIOS, comprese le immagini del firmware UEFI. Rispetto ai due bootkit scoperti in precedenza, LoJax e MosaicRegressor, MoonBounce dimostra un progresso significativo con un flusso di attacco più complicato e una maggiore sofisticazione tecnica.

L'impianto si trova nel componente CORE_DXE del firmware, che viene chiamato all'inizio della sequenza di avvio UEFI. In seguito, attraverso una serie di hook che intercettano alcune funzioni, i componenti dell'impianto si fanno strada nel sistema operativo, dove raggiungono un server di comando e controllo al fine di recuperare ulteriori payload dannosi, che non siamo stati in grado di recuperare. È importante sottolineare che la catena di infezione non lascia alcuna traccia sul disco rigido, in quanto i suoi componenti operano solo nella memoria, facilitando così un attacco senza file con una piccola impronta.

Durante le indagini su MoonBounce, i ricercatori di #Kaspersky hanno scoperto diversi loader malevoli e malware usati in fase di post-exploitation su diversi nodi della stessa rete. Tra questi ScrambleCross o Sidewalk, un impianto in-memory che può comunicare con un server C2 per scambiare informazioni ed eseguire plugin aggiuntivi; Mimikat_ssp, uno strumento post-exploitation pubblicamente disponibile utilizzato per fare il download di credenziali e informazioni di sicurezza, una backdoor basata su Golang precedentemente sconosciuta, e Microcin, un malware tipicamente usato dal threat actor SixLittleMonkeys.

L'esatto vettore di infezione è ancora sconosciuto, tuttavia si presume che l'infezione avvenga tramite l'accesso remoto alla macchina. Inoltre, mentre LoJax e MosaicRegressor utilizzano l’aggiunta di driver DXE, MoonBounce modifica un componente del firmware esistente per effettuare un attacco che sia più sottile e furtivo.

Durante l’intera campagna contro la rete in questione gli attaccanti hanno svolto numerose azioni tra cui l'archiviazione di file e la raccolta di informazioni di rete. I comandi utilizzati dagli attaccanti durante la loro attività suggeriscono il loro interesse al movimento laterale e all'esfiltrazione dei dati e, considerato l’utilizzo di un impianto UEFI, è probabile che fossero interessati a condurre un'attività di spionaggio continua.

Kaspersky ha attribuito MoonBounce al gruppo APT41, segnalato come threat actor di lingua cinese che ha condotto campagne di cyber-spionaggio e criminalità #informatica in tutto il mondo a partite almeno dal 2012. Inoltre, l'esistenza di alcuni dei suddetti malware nella stessa rete suggerisce una possibile connessione tra APT41 e altri threat actor di lingua cinese.

Finora, il bootkit del firmware è stato trovato solo in un singolo caso; tuttavia, altri campioni malevoli affiliati (ad esempio ScrambleCross e i suoi loader) sono stati trovati sulle reti di diverse altre vittime.

"Nonostante non si possano collegare in modo definitivo gli impianti di malware aggiuntivi trovati durante la nostra indagine relativa a MoonBounce, sembra che alcuni threat actor di lingua cinese stiano condividendo tra loro strumenti per sostenere le loro varie campagne; in particolare sembra esserci una connessione tra MoonBounce e Microcin", ha commentato #denislegezo, senior security researcher with GReAT.

"Inoltre, quest'ultimo bootkit UEFI mostra gli stessi notevoli progressi rispetto a MosaicRegressor che abbiamo segnalato nel 2020. Infatti, la trasformazione di un componente centrale del firmware precedentemente benigno in uno che possa facilitare la distribuzione del malware sul sistema è un'innovazione mai vista nei precedenti bootkit firmware comparabili in the wild e rende la minaccia molto più furtiva. Avevamo previsto nel 2018 che le minacce UEFI avrebbero guadagnato popolarità, e questa tendenza sembra materializzarsi. Non ci sorprenderebbe trovare ulteriori bootkit nel 2022. Fortunatamente, i vendor hanno iniziato a prestare maggiore attenzione agli attacchi al firmware e vengono adottate sempre più tecnologie di sicurezza del firmware, come BootGuard e Trusted Platform Modules", ha commentato #marklechtik, senior security researcher del Global Research and Analysis Team (GReAT) di #Kaspersky.

Per un'analisi più dettagliata di MoonBounce, è possibile leggere il report completo su Securelist.

Per proteggersi dal bootkit UEFI MoonBounce, #Kaspersky consiglia di:  

  • Fornire al team SOC l'accesso alle più recenti informazioni sulle minacce (TI). Kaspersky Threat Intelligence Portal costituisce un punto di accesso unico per la TI dell'azienda e fornisce dati sugli attacchi informatici e insight raccolti da #Kaspersky in più di 20 anni.
  • Implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response, per il rilevamento a livello di endpoint, l'indagine e il rimedio tempestivo degli incidenti.
  • Utilizzare una soluzione affidabile per la sicurezza degli endpoint che possa rilevare l'utilizzo del firmware, come Kaspersky Endpoint Security for Business.
  • Aggiornare regolarmente il firmware UEFI e utilizzare solo firmware di fornitori affidabili.
  • Abilitare Secure Boot come impostazione predefinita, in particolare BootGuard e TPM dove possibile.

News correlate

luglio 14, 2021

Gli esperti di #kaspersky hanno scoperto una rara campagna di minacce persistenti avanzate (APT) su larga scala rivolta ad utenti ...