Threat Database Malware MoonBounce Malware

MoonBounce Malware

Bereits im Frühjahr 2021 tauchte im Rahmen eines sehr gezielten Angriffs eine neue UEFI-Implantat-Bedrohung auf. Analysen des Angriffs und der als MoonBounce verfolgten Bedrohung wurden in einem von Securelist veröffentlichten Bericht veröffentlicht. Die Forscher entdeckten, dass die Infektion die Modifikation einer einzelnen Komponente des Firmware-Image des Zielcomputersystems beinhaltete.

Auf diese Weise konnten die Angreifer dann den beabsichtigten Ausführungsfluss der Boot-Sequenz des Geräts abfangen und stattdessen eine erweiterte Infektionskette initiieren. Obwohl nicht schlüssig, deuten mehrere Faktoren darauf hin, dass MoonBounce mit der APT-Gruppe (Advanced Persistent Threat) APT41 verbunden ist, von der angenommen wird, dass sie Verbindungen zu China hat.

MoonBounce-Details

Die MoonBounce-Bedrohung ist besonders heimlich, da sie den SPI-Flash des infizierten Geräts ausnutzt. SPI steht für Serial Peripheral Interface, ein serielles Protokoll, das die Kommunikation zwischen verschiedenen Geräten wie seriellen Flash-Geräten erleichtern soll. Dadurch umgeht das MoonBounce-Implantat vollständig die Notwendigkeit, auf der Festplatte des Systems zu existieren.

Darüber hinaus kann es über alle Festplattenformate oder Festplattenersetzungen hinweg bestehen bleiben. Die gesamte Infektionskette hinterlässt kaum Spuren, da sie völlig dateilos und vollständig im Speicher abläuft. Der Hauptzweck der MoonBounce-Bedrohung besteht darin, die Bereitstellung einer Malware im Benutzermodus zu ermöglichen, die wiederum mit der Bereitstellung zusätzlicher aus dem Internet abgerufener Nutzlasten der nächsten Stufe beauftragt ist.

Im Trend

Am häufigsten gesehen

Wird geladen...