MoonBounce, nuevo implante malicioso escondido en el firmware UEFI de los equipos

Recomendados:  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento Nuevas reglas de seguridad para aplicaciones web y API Leer

El firmware UEFI es un componente crítico en la gran mayoría de las máquinas; su código es responsable de arrancar el dispositivo y pasar el control al software que carga el sistema operativo. Si este firmware contiene código malicioso, se podrá lanzar antes que el sistema operativo, lo que le hará especialmente difícil de eliminar; además, como el código se encuentra fuera del disco duro, la actividad de estos bootkits pasa prácticamente desapercibida para la mayoría de las soluciones de seguridad. Pues bien, los investigadores de Kaspersky han descubierto un nuevo bootkit de firmware bautizado como MoonBounce.

MoonBounce es el tercer bootkit UEFI encontrado “in the wild”, y fue descubierto por primera vez por los investigadores de Kaspersky en la primavera de 2021. Cuando se compara con los dos bootkits descubiertos anteriormente, LoJax y MosaicRegressor, MoonBounce demuestra un avance significativo con un flujo de ataque más complejo y una mayor sofisticación técnica.

"Quizás lo más importante es que este último bootkit UEFI muestra notables avances en comparación con MosaicRegressor, del que informamos en 2020. El hecho de transformar un componente central previamente benigno en el firmware a uno que puede facilitar el despliegue de malware en el sistema es una innovación que no se ha visto en anteriores bootkits de firmware “in the wild” y hace que la amenaza sea mucho más sigilosa. Ya predijimos en 2018 que las amenazas UEFI ganarían en popularidad, y esta tendencia parece estar materializándose. No nos sorprendería encontrar más bootkits en 2022", comenta Mark Lechtik, investigador de seguridad senior del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky.

El implante descansa en el componente CORE_DXE del firmware, al que se recurre en una fase temprana de la secuencia de arranque UEFI. A continuación, a través de una serie de ganchos que interceptan ciertas funciones, los componentes del implante se abren paso en el sistema operativo, donde se comunican con un servidor de comando y control con el fin de recuperar cargas útiles maliciosas adicionales. Esta cadena de infección no deja rastro en el disco duro, ya que sus componentes solo operan en la memoria, lo que permite un ataque sin archivo.

La campaña ha sido atribuida con bastante fiabilidad al conocido actor de amenazas persistentes avanzadas (APT) APT41. Los comandos utilizados por los atacantes a lo largo de su actividad sugieren que estaban interesados en el movimiento lateral y la exfiltración de datos y, dado que se utilizó un implante UEFI, es probable que los atacantes estuvieran interesados en llevar a cabo una actividad de espionaje.

Hasta ahora, el bootkit de firmware solo se ha encontrado en una máquina para una gran sociedad del sector de alta tecnología; sin embargo, otras muestras maliciosas relacionadas se han encontrado en las redes de otras víctimas.

"Aunque no podemos relacionar definitivamente los implantes de malware adicionales encontrados durante nuestra investigación con MoonBounce específicamente, parece que algunos actores de amenazas de habla china están compartiendo herramientas entre sí para ayudarse en sus diversas campañas; especialmente parece haber una conexión de baja confianza entre MoonBounce y Microcin", añade Denis Legezo, investigador de seguridad senior de GReAT.