Kaspersky-onderzoekers hebben voor de tweede keer een bijzonder verborgen UEFI-root ontdekt, omdat deze zich kan verbergen in de SPI Flash-chip van het pc-moederbord. Hierdoor blijft de kwaadaardige code persistent op het doelapparaat, zelfs als het besturingssysteem opnieuw is geïnstalleerd of de harde schijf is gewijzigd. Deze aanpak is al gezien voor mozaïek-, een rootkit die in oktober 2020 door Kaspersky werd ontdekt. Hij bevond zich ook in LOJAX, een concrete wortel onthuld door Eset-onderzoekers in 2018.
Zie ook het filmpje:
In deze twee eerdere voorbeelden werd de kwaadaardige code in de firmware van de SPI-chip ingevoegd in de vorm van een stuurprogramma. In deze nieuwe versie, die Kaspersky MoonBounce noemde, is deze geïntegreerd in de bestaande firmwaremodule (CORE_DXE), en is daarom nauwkeuriger en moeilijker te detecteren.
Het doel blijft echter hetzelfde. Dit omvat het kapen van de opstartprocedure om het besturingssysteem te infecteren. In het geval van MoonBounce resulteert dit in het creëren van malware in de geheugenruimte van de Windows-kernel, waardoor hackers malware kunnen injecteren in het legitieme svchost.exe-proces. Deze malware maakt vervolgens verbinding met Command and Control (C&C)-servers om andere malware te downloaden en te installeren. Het systeem komt dan onder de controle van hackers, wiens doel duidelijk was om gevoelige gegevens te vinden en te infiltreren.
Op basis van een aantal technische bewijzen – het type malware dat wordt ingezet tijdens de infectieketen en het gebruik van een specifiek certificaat voor commando- en controlecommunicatie – geloven Kaspersky-onderzoekers dat MoonBounce wordt aangedreven door APT41, ook bekend als Winnti, is een Chinese hackergroep die bekend staat om zijn aanvallen op softwaretoeleveringsketens (CCleanerAsus). Dit maatwerk is gemaakt door Gemiddeld tot hoog vertrouwen, zegt Kaspersky.
Hoe deze rootkits in de SPI-chip zijn gekomen, blijft echter een mysterie. De onderzoekers veronderstellen echter dat deze infectie op afstand heeft plaatsgevonden.
bron: Kaspersky
“Incurable thinker. Food lover. Subtly charming alcohol scientist. Pop culture advocate.”
More Stories
Deze geheime map geeft met slechts één klik toegang tot alle Windows-instellingen
Met 8 GB RAM en een Super Amoled-display is de Galaxy A55 5G de beste telefoon uit het middensegment van Samsung, en hij kost bij deze handelaar nog geen € 300!
Gratis Word, Excel en PowerPoint, mogelijk gemaakt met deze volledig legale technologie