بوتکیت MoonBounce؛ جدیدترین ابزار مخرب گروه APT41
به تازگی محققان شرکت کسپرسکی (.Kaspersky, Lab) در گزارشی خبر از کشف یک بوتکیت (Bootkit) دادهاند که برای اولین بار در بهار 2021 شناسایی و تحت عنوان MoonBounce نامگذاری شده بود. کدهای مخربی که در ثابتافزار (Firmware) ذخیره میشوند به بوتکیت معروف هستند. محققان اطمینان دارند که این بوتکیت متعلق به گروه شناخته شده چینی به نام APT41 است که در گذشته مسئول بسیاری از تهدیدات مستمر و پیشرفته (Advanced Persistent Threat – به اختصار APT) بودهاند.
کشف MoonBounce سومین مورد ثبت شده از بکارگیری روتکیتهای مبتنی بر ثابتافزار است. سال گذشته نیز محققان، جاسوسافزار FinSpy را که مجهز به یک بوتکیت مبتنی بر رابط Unified Extensible Firmware Interface – به اختصار UEFI – بود، شناسایی کردند و شرکت ایست (.ESET, LLC) نیز بوتکیتهای مشابهی را در یک کارزار جاسوسی سایبری کشف نمود. مشروح گزارش شرکت مذکور در نشانی زیر قابل مطالعه است:
https://www.welivesecurity.com/2021/10/05/uefi-threats-moving-esp-introducing-especter-bootkit/
بررسی تخصصی MoonBounce نشان میدهد که این بوتکیت نسبت به بوتکیتهای LoJax و MosaicRegressor که قبلاً کشف شده، در حملات پیچیدهتری مورد استفاده قرار گرفته و پیچیدگی فنی بیشتری دارد. اطلاعات بیشتر در خصوص جزییات نخستین و دومین بوتکیتهای کشف شده (LoJax و MosaicRegressor) در نشانیهای زیر قابل دریافت و مطالعه میباشد:
https://newsroom.shabakeh.net/20101/lojax.html
https://newsroom.shabakeh.net/21792/mosaicregressor.html
کسپرسکی با بررسی دادهها در سطح جهان، تاکنون یک مورد حمله را که از روتکیت MoonBounce استفاده نموده، شناسایی کرده که بسیار هدفمند بوده و مربوط به سازمانی است که کنترل چندین شرکت فعال در حوزه حملونقل را در دست دارد.
محققان دریافتند که کدهای بدافزاری و مخرب در مولفه CORE_DXE ثابتافزار UEFI پنهان میشوند. مهاجمان اقدام به تغییر مؤلفهای در ثابتافزار مینمایند به گونهای که امکان رهگیری جریان اجرای اصلی راهاندازی (Boot) دستگاه را برای آنها فراهم نموده و یک زنجیره آلودگی پیچیده را ایجاد میکند. ثابتافزار UEFI از درجه اهمیت بسیار بالایی برخوردار است زیرا کد موجود در آن مسئول راهاندازی دستگاه و انتقال کنترل به نرمافزاری است که سیستمعامل را بارگذاری میکند.
پس از نفوذ MoonBounce به سیستمعامل، بوتکیت مذکور جهت بازیابی کدهای مخرب دیگری که محققان کسپرسکی نتوانستند آنها را شناسایی کنند، به یک سرور فرمان و کنترلدهی (Command & Control – به اختصار C2) دسترسی پیدا میکند.
شناسایی و پاکسازی بوت کیتهای ثابتافزاری بسیار دشوار است زیرا کدی که مورد هدف قرار میدهند، در مکانی خارج از دیسک سخت، در ماژول حافظه Serial Peripheral Interface – به اختصارSPI – که اکثر راهکارهای امنیتی آن را به طور استاندارد پویش نمیکنند، قرار دارد. از طرفی بدافزارهای بوتکیت قبل از همه چیز از جمله سیستمعامل اجرا میشوند و عملاً از دید محصولات امنیتی همچون ضدویروسها مخفی میمانند. همچنین این نوع بدافزارها بر روی پروسه راهاندازی سیستمعامل کنترل کامل داشته و میتوانند سیستمهای دفاعی را در بالاترین سطح ناکارامد کنند. به همین دلیل نیز نه تنها در صورت تغییر سیستمعامل ماندگار میماند که حتی تعویض یا فرمت دیسک سخت نیز باعث حذف و پاکسازی این بدافزار نخواهد شد.
علاوه بر این، زنجیره آلودگی در حملات روتکیت، به خودی خود هیچ اثر و نشانی بر روی دیسک سخت باقی نمیگذارد، زیرا مولفههای آن فقط در حافظه کار میکنند، بنابراین انجام حملات موسوم به “بدون فایل” (Fileless Attack) را برای مهاجمان تسهیل میکند.
برخی از محققان در حین بررسی MoonBounce، احتمال دادند که ارتباطی بین این بوتکیت و بدافزار Microcin که قبلاً توسط گروه SixLittleMonkeys مورد استفاده قرار گرفته، وجود دارد. گرچه این محققان به طور قطعی وجود بدافزارهای دیگر در طول تحقیقات را به MoonBounce مربوط نمیدانند، اما به نظر میرسد که برخی از فعالان گروه چینی APT41، در کارزارهای مختلف به یکدیگر کمک کرده و ابزارهایی را به اشتراک میگذارند.
فعال نمودن مکانیزم BootGuard از جمله اقداماتی است که میتواند در ایمن ماندن دستگاه در برابر MoonBounce موثر باشد. نصب آخرین نسخه از ثابتافزار و بهروزرسانی منظم UEFI و در نتیجه ترمیم آسیبپذیریهای امنیتی نیز از نکات کلیدی برای مقابله با این روتکیت است. علاوه بر این استفاده از راهکارهای امنیتی که قادر به رصد و پویش ثابتافزارها هستند، توصیه میشود.
مشروح گزارش کسپرسکی درخصوص MoonBounce، در نشانی زیر قابل مطالعه است:
نشانههای آلودگی (Indicators of Compromise – به اختصار IoC)، دامنه و نشانیهای IP بوتکیت MoonBounce نیز در نشانی زیر قابل دریافت است:
https://securelist.com/moonbounce-the-dark-side-of-uefi-firmware/105468/
منابع:
https://www.infosecurity-magazine.com/news/third-firmware-bootkit-discovered/
https://www.securityweek.com/prolific-chinese-apt-caught-using-moonbounce-uefi-firmware-implant
