Kasperskys cybersäkerhetsforskare har upptäckt en sällsynt typ av skadlig programvara som inte kan tas bort med antivirus, eller till och med de mest extrema åtgärderna, som att formatera eller byta ut hårddisken.
Faktum är att skadlig programvara, kallad MoonBounce, inte finns på själva hårddisken, utan i SPI-felminnet som finns på moderkortet.
Den här typen av skadlig programvara kallas ett bootkit och, som The Record förklarar, kan den bara tas bort genom att återflasha SPI-minnet, vilket det beskriver som "en mycket komplex process." Den andra lösningen skulle vara att helt byta ut moderkortet.
Kina slår till igen
MoonBounce är designad som skadlig programvara i första steget, i en attack i flera steg. Skadliga aktörer använder det för att hålla dörrar öppna på komprometterade enheter eller för att distribuera skadlig programvara i andra stadiet, som sedan kan fungera som datainsamlare, kodexekverare, ransomware och mer.
Kaspersky säger att bara en instans av MoonBounce har upptäckts hittills, på en enhet som tillhör ett åkfirma. Forskare misstänker också att MoonBounce är ett verk av APT41, en välkänd statligt sponsrad cyberbrottsgrupp kopplad till kinesiska myndigheter.
Forskarna hävdar att MoonBounce och skadlig programvara i andra steget, som också hittades på enheten, kommunicerade med samma serverinfrastruktur, från vilken APT41 utfärdade sina instruktioner.
Till att börja med vet Kaspersky fortfarande inte hur MoonBounce hamnade på den komprometterade enheten.
"Som en säkerhetsåtgärd mot denna och liknande attacker rekommenderas det att uppdatera UEFI-firmwaren regelbundet och verifiera att BootGuard, om det finns, är aktiverat. Likaså är det lämpligt att aktivera Trust Platform Modules, i fall motsvarande hårdvara är kompatibel . på maskinen”, sa Kaspersky-teamet.
MoonBounce är ett UEFI (Unified Extensible Firmware Interface) bootkit, och det tredje Kaspersky har skapat på sistone, efter LoJax och MosaicRegressor. Under de senaste månaderna har forskare hittat flera UEFI-bootkit, minns The Record, inklusive ESPectre, eller FinSpys UEFI-bootkit.
- Du kan också kolla in vår lista över de bästa brandväggarna just nu.
Via: Arkivet