Информационная Безопасность. Аудит Безопасности


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Обнаружена malware MoonBounce, внедряющаяся в UEFI
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Обнаружена malware MoonBounce, внедряющаяся в UEFI

24.01.2022

В конце 2021 года, изучая логи Firmware Scanner, эксперты «Лаборатории Касперского» обнаружили компрометацию на уровне прошивки UEFI. Дальнейший анализ показал, что злоумышленники модифицировали один из компонентов в исследуемом образе прошивки, что позволило им изменить цепочку выполнения в UEFI и внедрить вредоносный код, запускаемый при старте машины.

Проанализировав компоненты модифицированной прошивки и другие артефакты вредоносной активности в сети жертвы, исследователи пришли к выводу, что в исследуемую прошивку был внедрен вредоносный код, который получил имя MoonBounce.

Отличительной особенностью MoonBounce является то, что малварь скрывается не в разделе ESP (EFI System Partition), где обычно располагается часть кода UEFI, а сразу внедряется во флэш-память SPI, расположенную на материнской плате. То есть вредонос может запускаться как после переустановки операционной системы, так и после форматирования или замены жесткого диска. Фактически буткит останется на зараженном устройстве вплоть до перепрошивки SPI-памяти (а это очень сложный процесс) или вплоть до замены материнской платы.

По информации «Лаборатории Касперского», MoonBounce — это уже третий буткит UEFI, который встречался ИБ-аналитикам и был способен заражать SPI-память. Предыдущие два случая, это малварь LoJax и MosaicRegressor.

Исследователи заявили, что MoonBounce использовался как способ поддержания доступа к зараженному хосту и развертывания малвари на втором этапе атаки. Фактически, пока MoonBounce был развернут только один раз (в сети неназванной транспортной компании), и, основываясь на другой малвари, развернутой в той же сети, исследователи предположили, что MoonBounce — это работа китайской кибершпионской группировки APT41.

Связи между элементами инфраструктуры имплантов MoonBounce и ScrambleCross, обнаруженных в одной сети

Так, MoonBounce, и другие вредоносы , обнаруженное в сети жертвы, часто связывались с одной и той же серверной инфраструктурой, откуда они, скорее всего, получали инструкции от APT41.

Единственной загадкой для исследователей пока остался способ установки MoonBounce.

Детальный технический отчет, посвященный MoonBounce, уже опубликован на сайте компании.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Вирусы
Опубликовал: shellmann
Просмотров: 2585
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • В darknet сливают данные 100 000 российских банковских карт
  • Вирус Escobar ворует коды двухфакторной аутентификации из Google ...
  • DeadBolt использует уязвимость, исправленную в декабре
  • Почти миллион WordPress-сайтов в опасности из-за уязвимости в поп...
  • Шифровальщик DeadBolt взломал 3600 NAS. Qnap устанавливает обновл...
  • Банковский троян Chaes устанавливает вредоносные расширения для C...
  • Взломана платформа Qubit Finance, хакеры похитили 80 млн долларов
  • Арест участников REvil взволновал других преступников
  • Обнаружена malware MoonBounce, внедряющаяся в UEFI
  • Администратор кардерского форума UniCC и участник хак-группы The ...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » Взлом авторизации CRM
  • Разное / Предложения работы » взломать сайт и выграть электронную жеребьёвку
  • Разное / Предложения работы » разблокировать сбер аккаунт
  • Разное / Болталка » Re: Форум жив?
  • Разное / Болталка » Форум жив?
  • Разное / Болталка » С Новым 2022 Годом!
  • Взлом и безопасность / Программы » Re: Hasp ключ для ABC-4
  • Портал / Отзывы и предложения » Предлагаем партнерство вашему форуму.
  • Разное / Предложения работы » взлом почты
  • Разное / Куплю, приму в дар » Покупка аккаунтов Uphold

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}