Kaspersky-onderzoekers hebben voor de tweede keer een bijzonder verborgen UEFI-root ontdekt, omdat deze zich kan verbergen in de SPI Flash-chip van het pc-moederbord. Hierdoor blijft de kwaadaardige code persistent op het doelapparaat, zelfs als het besturingssysteem opnieuw is geïnstalleerd of de harde schijf is gewijzigd. Deze aanpak is al gezien voor mozaïek-, een rootkit die in oktober 2020 door Kaspersky werd ontdekt. Hij bevond zich ook in LOJAX, een concrete wortel onthuld door Eset-onderzoekers in 2018.
Zie ook het filmpje:
In deze twee eerdere voorbeelden werd de kwaadaardige code in de firmware van de SPI-chip ingevoegd in de vorm van een stuurprogramma. In deze nieuwe versie, die Kaspersky MoonBounce noemde, is deze geïntegreerd in de bestaande firmwaremodule (CORE_DXE), en is daarom nauwkeuriger en moeilijker te detecteren.
Het doel blijft echter hetzelfde. Dit omvat het kapen van de opstartprocedure om het besturingssysteem te infecteren. In het geval van MoonBounce resulteert dit in het creëren van malware in de geheugenruimte van de Windows-kernel, waardoor hackers malware kunnen injecteren in het legitieme svchost.exe-proces. Deze malware maakt vervolgens verbinding met Command and Control (C&C)-servers om andere malware te downloaden en te installeren. Het systeem komt dan onder de controle van hackers, wiens doel duidelijk was om gevoelige gegevens te vinden en te infiltreren.
Op basis van een aantal technische bewijzen – het type malware dat wordt ingezet tijdens de infectieketen en het gebruik van een specifiek certificaat voor commando- en controlecommunicatie – geloven Kaspersky-onderzoekers dat MoonBounce wordt aangedreven door APT41, ook bekend als Winnti, is een Chinese hackergroep die bekend staat om zijn aanvallen op softwaretoeleveringsketens (CCleanerAsus). Dit maatwerk is gemaakt door Gemiddeld tot hoog vertrouwen, zegt Kaspersky.
Hoe deze rootkits in de SPI-chip zijn gekomen, blijft echter een mysterie. De onderzoekers veronderstellen echter dat deze infectie op afstand heeft plaatsgevonden.
bron: Kaspersky
“Incurable thinker. Food lover. Subtly charming alcohol scientist. Pop culture advocate.”
More Stories
Samsung biedt advies dat u moet volgen om de batterij van uw telefoon te verbeteren
Verbluffende beelden van het uiteenvallen van een Starlink-satelliet in het luchtruim van Frankrijk dinsdag
EUR 1499 Promotie Asus ROG Strix G16 G614JV-N4118W, 16-inch 240Hz 2,5K DCI-P3 multimedia gaming-laptop onder RTX 4060 en Intel Core i7-H met 1TB SSD en TB4