| ムーンバウンス | |
|---|---|
| マルウェアの詳細 | |
| タイプ | ブートキット |
| 分類 | ルートキット |
| 著者 | APT41 |
| 技術的な詳細 | |
| プラットフォーム | マイクロソフトウィンドウズ |
MoonBounceはUEFIファームウェアベースのルートキットです。中国のハッカーグループAPT41と関連があるとされています。MoonBounceは2021年にKasperskyの研究者によって発見されました。[ 1 ] Windowsのセキュリティツールを無効化し、ユーザーアカウント制御をバイパスすることができます。[ 2 ]
データによれば、攻撃は非常に標的を絞ったものとなっている。[ 3 ]このマルウェアは、UEFI ルートキットの進化における画期的なものだ。[ 4 ]これは、発見された 3 番目の UEFI ブートキットマルウェアである。
感染
カスペルスキー社はファームウェアルートキットを1件のみ検出しており、ルートキットの拡散方法についてはほとんど解明されていません。リモートからインストールされたと考えられています。[ 5 ]
マザーボード上のSPIフラッシュメモリがマルウェアの埋め込み先です。CORE_DXEは、UEFIブートシーケンスの最初のフェーズで使用されるファームウェアに組み込まれたコンポーネントです。これはEFIブートサービスの機能をフックし、ブート中にsvchost.exeプロセスにさらなるマルウェアを注入します。[ 6 ]
これはハードドライブの低レベルの領域に常駐し、メモリ内でのみ動作するため、HDD上では検出されません。[ 7 ]
参考文献
- ^ 「APT41が標的型攻撃で使用した新たなUEFIマルウェアMoonBounce」BleepingComputer . 2023年1月17日時点のオリジナルよりアーカイブ。2024年3月21日閲覧。
- ^ Yusaf, Mansoor (2023年9月18日). 「MoonBounce UEFIブートキットマルウェア」 . Propelex . 2023年9月25日時点のオリジナルよりアーカイブ。 2024年3月21日閲覧。
- ^ CG (2022-02-06).電腦1週: PCStation Issue 1109 (中国語)。クリエイティブゲームズリミテッド。
- ^ Olyniychuk, Daryna (2023年3月14日). 「BlackLotus UEFIブートキット検出:CVE-2022-21894を悪用しUEFIセキュアブートをバイパスしOSセキュリティメカニズムを無効化」 . SOC Prime . 2023年3月31日時点のオリジナルよりアーカイブ。 2024年3月21日閲覧。
- ^ Paulina, Adam (2023年11月14日). 「OS下でマルウェアを実行する - UEFIファームウェアの脆弱性利用の現状」 . Binary Defense . 2023年12月9日時点のオリジナルよりアーカイブ。 2024年3月21日閲覧。
- ^ 「MoonBounce:UEFIファームウェアのダークサイド」 securelist.com 2022年1月20日. 2024年2月1日時点のオリジナルよりアーカイブ。2024年3月21日閲覧。
- ^ Yurchenko, Alla (2022年1月25日). 「最も洗練されたUEFIファームウェアインプラント:MoonBounce検出」 . SOC Prime . 2023年6月3日時点のオリジナルよりアーカイブ。 2024年3月21日閲覧。
