Güvenlik analistleri MoonBounce’ı keşfetti ve bağladı, “en gelişmişÇince konuşan APT41 hacker grubuna (Winnti olarak da bilinir) şimdiye kadar vahşi ortamda bulunan UEFI ürün yazılımı implantı.
APT41 en az on yıldır aktif olan ve öncelikle çeşitli endüstri sektörlerinden yüksek profilli kuruluşlara karşı gizli siber casusluk operasyonlarıyla tanınan kötü şöhretli bir bilgisayar korsanlığı grubudur.
keşfi Ay sıçraması bulguları hakkında ayrıntılı bir teknik rapor yayınlayan Kaspersky araştırmacılarının eseridir.
Gelişmiş bir UEFI implantı
UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi), bilgisayar sistemlerinde işletim sistemi (OS) ve bellenim yazılımının arabirimine yardımcı olan teknik bir özelliktir.
Bellenime “UEFI bootkit” adı verilen kötü amaçlı kod ekleyebilmek, AV’lerden ve işletim sistemi düzeyinde çalışan tüm güvenlik araçlarından gizli kalmanın mükemmel bir yoludur.
Bu, daha önce birçok kez yapıldı, son iki örnek FinFisher kötü amaçlı yazılımı ve ESPecter arka kapısı.
Genellikle bu araçlar, önyükleme sırasını ele geçirir ve işletim sistemi güvenlik bileşenlerinden önce başlatılır. Diskte ayrılmış bir alan gibi silinemeyen alanlara yuva yaptıkları için çok ısrarcıdırlar.
MoonBounce durumunda, yerleştirme yeri anakartın SPI flash belleğindedir, bu nedenle bir sabit disk değişimi bile onu sökemez.
Bağcıklı bellenim bileşeni, UEFI önyükleme sırasının erken aşamasında çağrılan CORE_DXE’dir.
“Enfeksiyonun kaynağı, EFI Önyükleme Hizmetleri Tablosundaki AllocatePool, CreateEventEx ve ExitBootServices gibi çeşitli işlevlerin yürütülmesini engelleyen bir dizi kanca ile başlar,” diye açıklıyor. Raporda Kaspersky.
“Bu kancalar, bu işlevlerin akışını, saldırganlar tarafından CORE_DXE görüntüsüne eklenen kötü amaçlı kabuk koduna yönlendirmek için kullanılır ve bu da, önyükleme zincirinin sonraki bileşenlerinde, yani Windows yükleyicide ek kancalar kurar.”
“Bu çok aşamalı kanca zinciri, sistem başlatma sırasında CORE_DXE görüntüsünden diğer önyükleme bileşenlerine kötü amaçlı kodun yayılmasını kolaylaştırarak, Windows çekirdeğinin bellek adres alanına kötü amaçlı bir sürücünün girmesine izin verir.”
Bu sürücü, işletim sistemi çekirdeği başlatma sırasında çalışır ve kötü amaçlı yazılımı bir svchost.exe işlemine enjekte eder. Kötü amaçlı yazılım, bilgisayar çalışır duruma gelir gelmez tamamen başlatıldı.
Ardından, sabit kodlanmış bir C2 URL adresiyle iletişim kurar ve bellekte çalışacak olan sonraki aşama yükünü almaya çalışır.
Kaspersky, analiz için bu yükü alamadı veya aktörlerin ilk etapta UEFI ürün yazılımına tam olarak nasıl bulaştığını çözemedi.
Kampanya hedefleri ve hedefleri
Telemetri verileri, bu saldırıların yüksek oranda hedef alındığını ve Kaspersky’nin yalnızca tek bir durumda üretici yazılımı kök setini tespit ettiğini ortaya koyuyor.
Ancak Kaspersky, aynı ağdaki diğer makinelerde birden fazla kötü amaçlı yazılım örneği ve yükleyici buldu, ancak bunlar UEFI olmayan implantlardı.
Örnekler arasında Microcin arka kapısı, Mimikat kimlik bilgisi hırsızı, Go implantı, StealthMutant yükleyici ve ScrambleCross kötü amaçlı yazılımı sayılabilir.
Kimin hedef alındığına gelince, güvenlik firması, ulaşım teknolojisi ile uğraşan birkaç işletmenin kontrolünde olan bir organizasyondan söz ediyor.
Düşmanların ana hedefi, ağ içinde uzun bir dayanak oluşturmak ve değerli verileri C2 sunucusuna sızdırarak siber casusluk yapmaktı.
Bu bağlamda, APT41 operatörleri analitik ağ keşfi gerçekleştirdi ve mümkün olan yerlerde yanlamasına hareket ederken aynı zamanda kötü niyetli faaliyetlerinin izlerini de sildi.
APT41 hala güçlü
Kaspersky, MoonBounce’ı APT41’e bağlayan, ScrambleCross kötü amaçlı yazılımının dağıtımından C2 sunucularından alınan benzersiz sertifikalara kadar değişen birçok kanıt buldu. önceki FBI raporları APT41 etkinliğinde.
ABD Adalet Bakanlığı tespit ve beş APT41 üyesini suçladı Eylül 2020’de MoonBounce’ın varlığı ve etrafındaki operasyon, tehdit aktörlerinin yasal baskıdan yılmadığını kanıtlıyor.
APT41, en aşılmaz kurumsal ağları bile atlayan kaçma araçları geliştirebilen sofistike bir tehdit aktörü olmaya devam ediyor.
UEFI tehditlerinin artık daha fazla çekiş kazanmasıyla Kaspersky, MoonBounce veya benzeri kötü amaçlı yazılım kullanan saldırganlara karşı savunmak için potansiyel olarak aşağıdaki önlemleri almalarını tavsiye ediyor:
- Varsayılan olarak Güvenli Önyüklemeyi Etkinleştir
- Ürün yazılımını düzenli olarak güncelleyin
- BootGuard’ın etkin olduğunu doğrulayın
- Güven Platformu Modüllerini Etkinleştir