I ricercatori di Kaspersky hanno recentemente scoperto il terzo caso di un firmware bootkit in the wild che hanno soprannominato MoonBounce. Scopriamo tutti i dettagli.
Kaspersky scopre MoonBounce, un malware resistente
Kaspersky ha rivelato che MoonBounce è un impianto malevolo che si nasconde nel firmware UEFI, una parte essenziale dei computer, all’interno della memoria flash SPI, un componente di archiviazione esterno al disco rigido. Tali impianti sono notoriamente difficili da rilevare e rimuovere. Il malware è apparso per la prima volta nella primavera del 2021 e dimostra un flusso di attacco sofisticato, con evidenti progressi rispetto ai bootkit UEFI precedentemente segnalati.
Il firmware UEFI è un componente critico nella stragrande maggioranza delle macchine. Il suo codice, infatti, è responsabile dell’avvio del dispositivo e del passaggio del controllo al software che carica il sistema operativo. Questo codice si trova nella cosiddetta flash SPI, una memoria non volatile esterna al disco rigido.
Nel caso in cui questo firmware contenesse un codice dannoso, questo verrebbe lanciato prima del sistema operativo. In questo modo sarebbe poi particolarmente difficile eliminare il malware. Sfortunatamente non può essere rimosso formattando il disco rigido o reinstallando il sistema operativo. Inoltre, poiché il codice si trova al di fuori del disco rigido, l’attività di questi malware non viene rilevata dalla maggior parte delle soluzioni di sicurezza.
MoonBounce è solo il terzo bootkit UEFI rilevato in the wild. È apparso nella primavera del 2021 ed è stato scoperto per la prima volta dai ricercatori di Kaspersky analizzando l’attività del Firmware Scanner dell’azienda. Rispetto ai due bootkit scoperti in precedenza, LoJax e MosaicRegressor, MoonBounce dimostra un progresso significativo con un flusso di attacco più complicato e una maggiore sofisticazione tecnica.
Durante le indagini su MoonBounce, i ricercatori di Kaspersky hanno scoperto diversi loader malevoli e malware usati in fase di post-exploitation su diversi nodi della stessa rete. Tra questi troviamo:
- ScrambleCross o Sidewalk, un impianto in-memory che può comunicare con un server C2 per scambiare informazioni ed eseguire plugin aggiuntivi;
- Mimikat_ssp, uno strumento post-exploitation pubblicamente disponibile utilizzato per fare il download di credenziali e informazioni di sicurezza;
- Microcin, un malware tipicamente usato dal threat actor SixLittleMonkeys.
L’esatto vettore di infezione è ancora sconosciuto. Tuttavia Kaspersky presume che l’infezione avvenga tramite l’accesso remoto alla macchina. Inoltre MoonBounce modifica un componente del firmware esistente per effettuare un attacco che sia più sottile e furtivo.
Come proteggersi
- Fornire al team SOC l’accesso alle più recenti informazioni sulle minacce (TI). Kaspersky Threat Intelligence Portal costituisce un punto di accesso unico per la TI dell’azienda e fornisce dati sugli attacchi informatici e insight raccolti da Kaspersky in più di 20 anni.
- Implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response, per il rilevamento a livello di endpoint, l’indagine e il rimedio tempestivo degli incidenti.
- Utilizzare una soluzione affidabile per la sicurezza degli endpoint che possa rilevare l’utilizzo del firmware, come Kaspersky Endpoint Security for Business.
- Aggiornare regolarmente il firmware UEFI e utilizzare solo firmware di fornitori affidabili.
- Abilitare Secure Boot come impostazione predefinita, in particolare BootGuard e TPM dove possibile.
- Difende da virus, cryptolocker e altri ransomware
- Protegge la tua privacy
- Protegge i tuoi acquisti online