MoonBounce Malware

Au printemps 2021, une nouvelle menace d'implant UEFI est apparue dans le cadre d'une attaque hautement ciblée. L'analyse de l'attaque et de la menace suivie par MoonBounce a été publiée dans un rapport publié par Securelist. Les chercheurs ont découvert que l'infection impliquait la modification d'un seul composant de l'image du micrologiciel du système informatique ciblé.

Ce faisant, les attaquants ont alors pu intercepter le flux d'exécution prévu de la séquence de démarrage de l'appareil et lancer à la place une chaîne d'infection avancée. Bien que non concluants, plusieurs facteurs indiquent que MoonBounce est connecté au groupe APT (Advanced Persistent Threat) APT41, qui aurait des liens avec la Chine.

Détails de MoonBounce

La menace MoonBounce est particulièrement furtive car elle exploite le flash SPI de l'appareil infecté. SPI signifie Serial Peripheral Interface, un protocole série chargé de faciliter la communication entre divers périphériques tels que les périphériques flash série. En conséquence, l'implant MoonBounce contourne complètement la nécessité d'exister sur le disque dur du système.

De plus, il peut persister à travers n'importe quel format de disque ou remplacement de disque. La chaîne d'infection dans son ensemble laisse peu de traces car elle s'exécute entièrement sans fichier et entièrement en mémoire. L'objectif principal de la menace MoonBounce est de permettre la livraison d'un logiciel malveillant en mode utilisateur, qui à son tour est chargé de déployer des charges utiles supplémentaires de la prochaine étape récupérées sur Internet.