发现中国黑客在有针对性的攻击中使用新的UEFI固件植入

作为有针对性的间谍活动的一部分，部署了一个先前未经记录的固件植入物，以保持隐形持久性，该植入物与说中文的Winnti高级持久性威胁组织（APT41）有关。

代号为rootkit MoonBounce的卡巴斯基（Kaspersky）将该恶意软件描述为“迄今为止在野外发现的最先进的UEFI固件植入物”，并补充说“植入物的目的是促进用户模式恶意软件的部署，从而分阶段执行从互联网下载的进一步有效载荷。”

基于固件的rootkit曾经是威胁领域中的稀罕之物，现在正迅速成为成熟参与者中利润丰厚的工具，以帮助他们以一种不仅难以发现，而且难以移除的方式实现长期立足点。

第一个固件级别的rootkit—；被称为LoJax—；2018年在野外被发现。从那时起，迄今为止已经发现了三个不同的UEFI恶意软件实例，包括Mosaic Regressionor、FinFisher和Esceter。

月球弹跳的担忧有很多原因。与FinFisher和Espeter不同的是，新发现的rootkit—；沿着LoJax和MosaicRetressor等公司—；目标是SPI闪存，它是硬盘驱动器外部的非易失性存储器。

通过将这种高度持久的bootkit恶意软件放置在焊接到计算机主板上的闪存中，这种机制不可能通过更换硬盘驱动器来清除，甚至无法重新安装操作系统。

这家俄罗斯网络安全公司表示，它在去年的一次事件中发现了固件rootkit的存在，这表明了攻击的高度针对性。尽管如此，UEFI固件被感染的确切机制仍不清楚。

增加其隐蔽性的是，现有固件组件被篡改以改变其行为—；而不是在图像中添加新的驱动程序—；其目标是将引导序列的执行流转移到恶意攻击序列，该攻击序列在系统启动期间注入用户模式恶意软件，然后该恶意软件会到达硬编码的远程服务器以检索下一阶段的有效负载。

研究人员指出：“感染链本身不会在硬盘上留下任何痕迹，因为其组件仅在内存中运行，从而促进了占用空间小的无文件攻击，”研究人员补充说，它在目标网络中发现了其他非UEFI植入物，这些植入物与承载转移负载的相同基础设施进行通信。

部署在网络中多个节点上的主要组件包括一个后门跟踪为cross（又名Crosswalk）和一些攻击后恶意软件植入物，如Microcin和Mimikat_ssp，这表明攻击者在获得初始访问权限后进行了横向移动，以便从特定机器中过滤数据。

网络安全公司Binarly在一项独立分析中指出，MoonBounce UEFI组件是从2014年开始为与MSI系统相关的目标硬件构建的，恶意软件可能通过物理访问或由于缺乏足够的SPI保护而导致的软件修改交付到受损机器。

为了应对此类固件级别的修改，建议定期更新UEFI固件，并启用引导防护、安全引导和信任平台模块（TPM）等保护。

研究人员说：“月球弹跳标志着这组威胁中的一个特殊演变，与前辈相比，它呈现了更复杂的攻击流程，其作者的技术能力也更高，他们对UEFI引导过程中涉及的更精细的细节有着透彻的理解。”。