Fournissez à votre équipe SOC l'accès aux toutes dernières données en matière de menaces.



Pour la détection, l'investigation et la correction rapide des incidents au niveau des terminaux, mettez en œuvre des solutions EDR



Utilisez une solution robuste de protection des terminaux qui peut détecter l'utilisation de firmware



Mettez régulièrement à jour votre firmware UEFI et utilisez uniquement le firmware de fournisseurs de confiance.



Activez le démarrage sécurisé (« Secure Boot ») par défaut, en particulier BootGuard et TPM quand cela est possible.

MoonBounce est apparu pour la première fois au printemps 2021. Par rapport aux bootkits de firmware UEFI signalés précédemment, son flux d'attaque est considérablement plus sophistiqué. Selon les chercheurs de Kaspersky, tous les indices pointent vers une implication d'APT41, un groupe APT (Advanced Persistent Threat) bien connu.Le firmware UEFI est un composant essentiel de la grande majorité des machines : son code démarre l'appareil avant de passer le relai au logiciel qui charge le système d'exploitation. Ce code se trouve dans une mémoire non volatile externe au disque dur, appelée Flash SPI. Lorsqu'un malware est implanté par un firmware bootkit, il se lance donc avant le système d'exploitation, et il devient très difficile de s'en débarrasser. En effet, il ne suffit pas de reformater le disque dur ou de réinstaller le système d'exploitation. De plus, le code étant isolé du disque dur, l'activité de ces bootkits passe pratiquement inaperçue, sauf quand les solutions de sécurité sont dotées d'une fonction d'analyse spécifique.MoonBounce est seulement le troisième bootkit UEFI identifié. Apparu au printemps 2021, il a été découvert par les chercheurs de Kaspersky alors qu'ils examinaient l'activité de leur Firmware Scanner, inclus dans les produits Kaspersky depuis le début 2019 afin de détecter spécifiquement les menaces cachées dans le BIOS ROM, y compris les images de firmware UEFI. MoonBounce est plus avancé que les deux bootkits précédemment identifiés, LoJax et MosaicRegressor, car il intègre un flux d'attaque plus complexe et une plus grande sophistication technique.L'implant se situe dans le composant CORE_DXE du firmware, qui est sollicité au début de la séquence de démarrage UEFI. Ensuite, via une série de hooks interceptant certaines fonctions, les composants de l'implant se frayent un chemin jusqu'au système d'exploitation, depuis lequel ils accèdent à un serveur de commande et de contrôle afin de récupérer d'autres payloads malveillants, que nous n'avons pas pu extraire. Il convient de noter que la chaîne d'infection elle-même ne laisse aucune trace sur le disque dur, car ses composants fonctionnent uniquement en mémoire, ce qui facilite une attaque sans fichier avec une faible empreinte.En analysant MoonBounce, les chercheurs de Kaspersky ont découvert des loaders malveillants et malwares post-exploitation sur plusieurs nœuds du même réseau : ScrambleCross ou Sidewalk, un implant en mémoire qui peut communiquer avec un serveur C2 pour échanger des informations et exécuter des plugins supplémentaires, Mimikat_ssp, un outil de post-exploitation en accès libre utilisé pour le dumping des identifiants et des secrets de sécurité, une nouvelle porte dérobée basée sur Golang et Microcin, un malware généralement utilisé par le groupe cybercriminel SixLittleMonkeys.Le vecteur d'infection exact reste inconnu, cependant, on suppose que l’infection survient par le biais d'un accès à distance. Par ailleurs, alors que LoJax et MosaicRegressor exploitaient l'ajout de pilotes DXE, MoonBounce modifie un composant du firmware existant pour une attaque plus subtile et discrète.Dans l'ensemble de la campagne menée contre le réseau visé, les attaquants ont clairement multiplié les actions, telles que l'archivage de fichiers et la collecte d'informations sur le réseau. Globalement, les commandes employées par les pirates suggèrent qu'ils étaient intéressés par les mouvements latéraux et l'exfiltration de données. L'utilisation d'un implant UEFI atteste que l'espionnage faisait probablement partie de leurs objectifs.Les chercheurs de Kaspersky disposent d'éléments tangibles permettant d'attribuer MoonBounce à APT41, un groupe de hackers sinophones qui a mené des campagnes de cyberespionnage et d'attaques cyber dans le monde entier au moins depuis 2012. De plus, la coexistence des malwares précités au sein d'un même réseau indique une possible connexion entre APT41 et d'autres acteurs sinophones.Jusqu'à présent, ce firmware bootkit n'a été détecté qu’une seule fois. Néanmoins, d'autres malwares associés (comme ScrambleCross et ses loaders) ont été identifiés sur les réseaux de plusieurs autres victimes.», ajoute Denis Legezo, senior security researcher au sein de la Global Research and Analysis Team de Kaspersky (GReAT).», souligne Mark Lechtik, senior security researcher , GReAT, Kaspersky.Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde.Source : Kaspersky Qu'en pensez-vous ?