Accueil High Tech Moonbounce, un kit d’amorçage de firmware attribué au groupe chinois APT41, montre...

Moonbounce, un kit d’amorçage de firmware attribué au groupe chinois APT41, montre que les règles de sécurité de Windows 11 sont légitimes

251
0

Les chercheurs de Kaspersky ont découvert un troisième cas
un kit de démarrage de firmware, MoonBounce, qui est
caché par des attaquants dans le micrologiciel UEFI (Unified Extensible Firmware Interface) d’une
la flash SPI de l’ordinateur.

Ces implants sont très difficiles à retirer et ont une visibilité limitée pour les produits de sécurité. Apparu pour la première fois au printemps 2021, MoonBounce présente un flux d’attaque sophistiqué, avec des avancées évidentes par rapport aux bootkits de firmware UEFI signalés précédemment.

Les chercheurs de Kaspersky ont attribué l’attaque crédible à l’acteur bien connu APT41.

Le microprogramme UEFI est un composant essentiel de la plupart des matériels. Son code est ce qui permet de démarrer les périphériques et de transférer le contrôle au logiciel qui charge le système d’exploitation. Ce code réside dans ce qu’on appelle la mémoire flash SPI, un support de stockage non volatile situé en dehors du disque dur. Si ce microprogramme contient du code malveillant, celui-ci sera libéré avant le système d’exploitation, ce qui rend les logiciels malveillants implantés par un kit d’amorçage de microprogramme particulièrement difficiles à supprimer ; ils ne peuvent pas être supprimés simplement en reformatant un disque dur ou en réinstallant un système d’exploitation.

En outre, le code étant situé en dehors du disque dur, l’activité de ces bootkits reste pratiquement indétectée par la plupart des solutions de sécurité, à moins qu’elles ne disposent d’une fonction permettant d’analyser spécifiquement cette partie du périphérique.

MoonBounce est seulement le troisième bootkit UEFI découvert dans la nature. Il est apparu au printemps 2021 et a été détecté pour la première fois par les chercheurs de Kaspersky alors qu’ils analysaient l’activité… Scanner de micrologiciels-leur bootkit, qui est inclus dans les produits Kaspersky depuis début 2019 pour détecter spécifiquement les menaces tapies dans la ROM du BIOS, y compris les images de firmware UEFI. Par rapport aux deux bootkits précédemment découverts, LoJax et Régresseur mosaïqueMoonBounce a fait des progrès significatifs, avec un flux d’attaque plus compliqué et une technique beaucoup plus sophistiquée.

L’implant se trouve dans le composant CORE_DXE du microprogramme qui est appelé au début de la séquence de démarrage UEFI. Ensuite, grâce à une série de crochets qui interceptent certaines fonctions, des parties de l’implant se frayent un chemin dans le système d’exploitation, où elles communiquent avec un serveur de commande et de contrôle pour télécharger d’autres composants malveillants. Il convient de noter que la chaîne d’infection elle-même ne laisse aucune trace sur le disque dur, car ses composants fonctionnent uniquement en mémoire, ce qui facilite une attaque sans fichier avec une faible empreinte.

Lire aussi :  La mise à niveau de Windows 11 sera disponible pour tous les appareils avant la date limite initialement annoncée

En analysant MoonBounce, les chercheurs de Kaspersky ont découvert plusieurs e-loaders malveillants et des malwares post-exploitation dans plusieurs nœuds du même réseau. Il s’agit notamment de ScrambleCross ou Sidewalk, un implant en mémoire qui peut communiquer avec un serveur C2 pour échanger des informations et exécuter des plugins supplémentaires, de Mimikat_ssp, un outil de post-exploitation accessible au public utilisé pour télécharger des informations d’identification et des secrets de sécurité, d’une porte dérobée basée sur Golang et inconnue jusqu’à présent. Microcinun logiciel malveillant couramment utilisé par l’auteur de la menace. SixLittleMonkeys.

Le vecteur exact de l’infection reste inconnu, mais on suppose que l’infection se produit par un accès à distance à l’équipement ciblé. De plus, alors que LoJax et MosaicRegressor utilisaient des modules complémentaires de pilotes DXE, MoonBounce modifie un composant de micrologiciel existant pour une attaque plus subtile et plus secrète.

Dans la campagne globale menée contre le réseau en question, il est évident que les attaquants ont effectué un large éventail d’actions, telles que l’archivage de fichiers et la collecte d’informations sur le réseau. Les commandes utilisées par les attaquants au cours de leur activité suggèrent qu’ils étaient intéressés par le mouvement latéral et l’exfiltration de données et, étant donné qu’un implant UEFI a été utilisé, il est probable que les attaquants étaient intéressés par la conduite d’activités d’espionnage.

Les chercheurs de Kaspersky ont attribué MoonBounce avec un degré de confiance considérable à l’attaquant APT41, un acteur connu parlant chinois qui mène des campagnes de cyberespionnage et de cybercriminalité dans le monde entier depuis au moins 2012. En outre, l’existence de certains des logiciels malveillants mentionnés ci-dessus dans le même réseau suggère une connexion possible entre APT41 et d’autres acteurs de la menace parlant chinois.

Jusqu’à présent, le bootkit du firmware n’a été trouvé que dans un seul cas. Cependant, d’autres échantillons malveillants (par exemple, ScrambleCross et son chargeur) ont été trouvés dans les réseaux de plusieurs autres victimes.

Lire aussi :  Meta interrompt son projet de système d'exploitation pour la RV et la RA

« Bien que nous ne puissions pas relier avec certitude les implants de logiciels malveillants supplémentaires découverts au cours de nos recherches avec MoonBounce, il semble que certains acteurs de la menace parlant chinois s’entraident en fournissant des outils dans leurs diverses campagnes ; il semble y avoir un lien de confiance faible entre MoonBounce et Microcin. »déclare Denis Legezo, chercheur principal du GReAT.

« Cette dernière bootkit UEFI montre les mêmes progrès notables par rapport à MosaicRegressor, que nous signalons depuis 2020. En fait, la transformation d’un composant de micrologiciel auparavant bénin en un composant capable de faciliter le déploiement de logiciels malveillants dans le système est une innovation inédite dans… bootkit-comparable et rend la menace beaucoup plus difficile à détecter. Nous avons prédit depuis 2018 que les menaces UEFI gagneraient en popularité, et cette tendance semble se concrétiser. Nous ne serions pas surpris de trouver d’autres bootkits en 2022. Heureusement, les fournisseurs commencent à prêter davantage attention aux attaques contre les microprogrammes, et des technologies de sécurité des microprogrammes telles que BootGuard et Trusted Platform Modules sont progressivement adoptées ».commente Mark Lechtik, chercheur senior de l’équipe GReAT (Global Research and Analysis Team) de Kaspersky.

Pour plus de détails sur l’analyse de MoonBounce, le rapport complet est disponible à l’adresse suivante Securelist.

Pour rester protégé contre les bootkits UEFI comme MoonBounce, Kaspersky recommande :

  • Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI). Kaspersky Threat Intelligence Portal est votre point d’accès unique pour l’informatique d’entreprise. Il fournit des données et des renseignements sur les cyberattaques recueillies par Kaspersky depuis plus de 20 ans.

  • Pour la détection au niveau des points d’accès, l’investigation et la correction rapide des incidents, déployez des solutions EDR telles que Kaspersky Endpoint Detection and Response.

  • Utilisez un produit de sécurité complet au niveau du point d’accès qui peut détecter l’utilisation du micrologiciel, tel que Kaspersky Endpoint Security for Business.

  • Mettez régulièrement à jour le micrologiciel UEFI et n’utilisez que des micrologiciels provenant de fournisseurs fiables.

  • Activez Secure Boot par défaut, en particulier BootGuard et les TPMs le cas échéant.

Article précédentIonuț Radu, écrasé dans son premier match officiel. Les fans et la presse n’ont eu aucune pitié pour le joueur de l’Inter.
Article suivantLe Parlement russe va débattre de la proposition des députés à Poutine de reconnaître l’indépendance des régions de Donetsk et de Lugansk.