Kaspersky araştırmacıları, ortalıkta serbestçe gezen üçüncü bir firmware (donanım yazılımı) bootkit olayını ortaya çıkardı. MoonBounce olarak isimlendirilen bu makus niyetli eklenti, bilgisayarların kıymetli bir modülü olan Birleşik Genişletilebilir Eser Yazılımı Arabirimi (UEFI) bellenimi ortasında, sabit şoförler için harici depolama bileşenlerine ilişkin SPI flaşında gizleniyor. Bu tıp eklentilerin ortaya çıkarılması çok sıkıntı ve güvenlik eserleri tarafınca görünürlükleri son derece sonlu. Özgür ortamda birinci kere 2021 baharında ortaya çıkan MoonBounce, daha evvel bildirilen UEFI üretici yazılımı önyükleme setlerine kıyasla besbelli bir ilerlemeye ve sofistike bir atak akışına sahip. Kampanya, epey büyük olasılıkla düzgün bilinen gelişmiş kalıcı tehdit (APT) aktörü APT41 ile ilişkilendiriliyor.
UEFI sabit yazılımı, bilgisayarların büyük çoğunluğunda kritik bir bileşendir. Taşıdığı kodlar aygıtı başlatmaktan ve denetimi işletim sistemini yükleyen yazılıma geçirmekten sorumludur. Bu kod, sabit disklere dair harici kalıcı bir depolama alanı olan SPI flash ortasında gizleniyor. Bu alan makûs hedefli kod içeriyorsa, kod işletim sistemindilk evvel başlatılıyor. Bu niçinle sabit sürücüyü bir daha biçimlendirmek yahut işletim sistemini bir daha yüklemek enfeksiyondan kurtulmaya yetmiyor. Dahası kod sabit şoförün haricinde bir yerde bulunduğundan, bu tıp önyükleme setlerinin aktifliği bilhassa aygıtın ilgili kısmını tarayan bir güvenlik tahlili kelam konusu olmadıkça algılanamıyor.
MoonBounce, bugüne dek ortalıkta serbestçe dolaştığı bildirilen üçüncü UEFI bootkiti oldu. Bootkit 2021 baharında ortaya çıktı ve birinci vakit içinderda Kaspersky araştırmacıları tarafınca, UEFI eser yazılımı imajları de dahil olmak üzere ROM BIOS’ta saklanan tehditleri bilhassa tespit etmek için 2019’un başından beri Kaspersky mamüllerine dahil edilen Firmware Scanner aktifliğine bakarken keşfedildi. Daha evvel keşfedilen LoJax ve MosaicRegressor bootkitleriyle karşılaştırıldığında MoonBounce daha karmaşık bir hücum akışına ve daha fazla teknik gelişmişliğe sahip oluşuyla öne çıkıyor.
Kelam konusu eklenti, UEFI önyükleme sırasında erkenden çağrılan bellenimin CORE_DXE bileşeninde yer alıyor. Akabinde eklentinin bileşenleri muhakkak fonksiyonları engelleyen bir dizi kanca aracılığıyla işletim sistemine giriyor ve burada daha fazla makûs gayeli yükleri almak için bir komuta ve denetim sunucusuna ulaşıyor. Bileşenler sırf bellekte çalıştığından enfeksiyon zincirinin kendisi sabit şoförde rastgele bir iz bırakmıyor.
MoonBounce’ı araştırırken Kaspersky araştırmacıları, birebir ağın birkaç düğümünde birkaç berbat emelli yükleyiciyi ve kullanım daha sonrası için ayrılmış makûs maksatlı yazılım ortaya çıkardı. Buna bilgi alışverişi yapmak ve ek eklentileri yürütmek için C2 sunucusuyla irtibat kurabilen bir bellek içi eklenti olan ScrambleCross yahut Sidewalk, kimlik ayrıntılarını ve güvenlik sırlarını aktarmak için kullanılan kamuya açık sömürü aracı Mimikat_ssp, evvelde bilinmeyen Golang tabanlı art kapı ve ekseriyetle SixLittleMonkeys tehdit aktörü tarafınca kullanılan makûs gayeli yazılım olan Microcin dahil oluyor. MoonBounce bu berbat hedefli yazılım kesimlerini indirebildiği üzere, kelam konusu makus gayeli yazılım kesimlerinden birinin daha evvel sisteme bulaşması makineyi tehlikeye atmanın bir yolu olarak da hizmet edebiliyor. bu biçimdece MoonBounce ağda yer edinebiliyor.
MoonBounce için öteki bir muhtemel bulaşma usulü, maksat şirkete teslim edilmedilk evvel makinenin güvenliğinin ihlal edilmesi formunda ortaya çıkıyor. Her iki durumda bulaşmanın hedeflenen makineye uzaktan erişim yoluyla gerçekleştiği düşünülüyor. Ek olarak, LoJax ve MosaicRegressor DXE şoförlerine eklenti yerleştirirken, MoonBounce daha incelikli ve daha saklı bir hücum için mevcut bir üretici yazılımı bileşenini değiştirme yoluna gidiyor.
Kelam konusu ağa karşı yürütülen genel kampanyada saldırganların evrakları arşivlemek ve ağ ayrıntılarını toplamak üzere fazlaca çeşitli hareketler gerçekleştirdikleri açık olarak tespit edildi. Saldırganların faaliyetleri boyunca kullandıkları komutlar, yanal hareketler ve bilgilerin sızdırma teşebbüsleri için UEFI eklentisini kullanmaları bunun bir casusluk faaliyeti olabileceği ihtimalini güçlendiriyor.
Kaspersky, MoonBounce’ı çok yüksek ihtimalle en az 2012’den beri dünya çapında siber casusluk ve siber kabahat kampanyaları yürüten, Çince konuşan bir tehdit aktörü olduğu geniş çapta bildirilen APT41’e bağlıyor. Tıpkı ağ, APT41 ile Çince konuşan öbür tehdit aktörleri içinde muhtemel bir ilişki olduğunu da öne sürüyor.
Şimdiye kadar bellenim önyükleme seti, yüksek teknoloji pazarındaki bir holding şirketinin tek bir makinesinde bulundu. Lakin, başka ilişkili makûs niyetli örneklere (ScrambleCross ve yükleyicileri gibi) birkaç öteki ağda da rastlandı.
GReAT Kıdemli Güvenlik Araştırmacısı Denis Legezo, şunları söylemiş oldu: “MoonBounce üzerinde yaptığımız araştırmalar sırasında bulunan ek berbat maksatlı yazılım eklentilerini bilhassa bağlayamasak da Çince konuşan kimi tehdit aktörleri, çeşitli kampanyalarına yardımcı olmak için kelam konusu araçları birbirleriyle paylaşıyor üzere görünüyor. Bilhassa MoonBounce ve Microcin içinde bir ilişki olduğunu düşünüyoruz.”
Kaspersky Global Araştırma ve Tahlil Grubu (GReAT) Araştırmacısı Mark Lechtik de şunları aktarıyor: “En son UEFI önyükleme seti, 2020’de bildirdiğimiz MosaicRegressor ile karşılaştırıldığında tıpkı kayda paha ilerlemeleri gösteriyor. Aslında bellenimdeki evvelinde güzel huylu bir çekirdek bileşenini, sistemde makûs hedefli yazılım dağıtımını kolaylaştırabilecek bir bileşene dönüştürmek değerli bir yenilik. Bunu evvelki kıyaslanabilir bellenim önyükleme setlerinde görmemiştik ve tehdidi epeyce daha zımnî hale getiriyor. 2018’de UEFI tehditlerinin popülerlik kazanacağını kestirim etmiştik, bu eğilim gerçekleşiyor üzere görünüyor. 2022’de ek bootkit’ler bulduğumuza şaşırmayacağız. her neyse ki dağıtıcılar donanım yazılımı hücumlarına daha fazla dikkat etmeye başladı. BootGuard ve Sağlam Platform Modülleri üzere donanım yazılımı güvenlik teknolojileri yavaş yavaş benimseniyor.”
Kaynak: (BHA) – Beyaz Haber Ajansı
UEFI sabit yazılımı, bilgisayarların büyük çoğunluğunda kritik bir bileşendir. Taşıdığı kodlar aygıtı başlatmaktan ve denetimi işletim sistemini yükleyen yazılıma geçirmekten sorumludur. Bu kod, sabit disklere dair harici kalıcı bir depolama alanı olan SPI flash ortasında gizleniyor. Bu alan makûs hedefli kod içeriyorsa, kod işletim sistemindilk evvel başlatılıyor. Bu niçinle sabit sürücüyü bir daha biçimlendirmek yahut işletim sistemini bir daha yüklemek enfeksiyondan kurtulmaya yetmiyor. Dahası kod sabit şoförün haricinde bir yerde bulunduğundan, bu tıp önyükleme setlerinin aktifliği bilhassa aygıtın ilgili kısmını tarayan bir güvenlik tahlili kelam konusu olmadıkça algılanamıyor.
MoonBounce, bugüne dek ortalıkta serbestçe dolaştığı bildirilen üçüncü UEFI bootkiti oldu. Bootkit 2021 baharında ortaya çıktı ve birinci vakit içinderda Kaspersky araştırmacıları tarafınca, UEFI eser yazılımı imajları de dahil olmak üzere ROM BIOS’ta saklanan tehditleri bilhassa tespit etmek için 2019’un başından beri Kaspersky mamüllerine dahil edilen Firmware Scanner aktifliğine bakarken keşfedildi. Daha evvel keşfedilen LoJax ve MosaicRegressor bootkitleriyle karşılaştırıldığında MoonBounce daha karmaşık bir hücum akışına ve daha fazla teknik gelişmişliğe sahip oluşuyla öne çıkıyor.
Kelam konusu eklenti, UEFI önyükleme sırasında erkenden çağrılan bellenimin CORE_DXE bileşeninde yer alıyor. Akabinde eklentinin bileşenleri muhakkak fonksiyonları engelleyen bir dizi kanca aracılığıyla işletim sistemine giriyor ve burada daha fazla makûs gayeli yükleri almak için bir komuta ve denetim sunucusuna ulaşıyor. Bileşenler sırf bellekte çalıştığından enfeksiyon zincirinin kendisi sabit şoförde rastgele bir iz bırakmıyor.
MoonBounce’ı araştırırken Kaspersky araştırmacıları, birebir ağın birkaç düğümünde birkaç berbat emelli yükleyiciyi ve kullanım daha sonrası için ayrılmış makûs maksatlı yazılım ortaya çıkardı. Buna bilgi alışverişi yapmak ve ek eklentileri yürütmek için C2 sunucusuyla irtibat kurabilen bir bellek içi eklenti olan ScrambleCross yahut Sidewalk, kimlik ayrıntılarını ve güvenlik sırlarını aktarmak için kullanılan kamuya açık sömürü aracı Mimikat_ssp, evvelde bilinmeyen Golang tabanlı art kapı ve ekseriyetle SixLittleMonkeys tehdit aktörü tarafınca kullanılan makûs gayeli yazılım olan Microcin dahil oluyor. MoonBounce bu berbat hedefli yazılım kesimlerini indirebildiği üzere, kelam konusu makus gayeli yazılım kesimlerinden birinin daha evvel sisteme bulaşması makineyi tehlikeye atmanın bir yolu olarak da hizmet edebiliyor. bu biçimdece MoonBounce ağda yer edinebiliyor.
MoonBounce için öteki bir muhtemel bulaşma usulü, maksat şirkete teslim edilmedilk evvel makinenin güvenliğinin ihlal edilmesi formunda ortaya çıkıyor. Her iki durumda bulaşmanın hedeflenen makineye uzaktan erişim yoluyla gerçekleştiği düşünülüyor. Ek olarak, LoJax ve MosaicRegressor DXE şoförlerine eklenti yerleştirirken, MoonBounce daha incelikli ve daha saklı bir hücum için mevcut bir üretici yazılımı bileşenini değiştirme yoluna gidiyor.
Kelam konusu ağa karşı yürütülen genel kampanyada saldırganların evrakları arşivlemek ve ağ ayrıntılarını toplamak üzere fazlaca çeşitli hareketler gerçekleştirdikleri açık olarak tespit edildi. Saldırganların faaliyetleri boyunca kullandıkları komutlar, yanal hareketler ve bilgilerin sızdırma teşebbüsleri için UEFI eklentisini kullanmaları bunun bir casusluk faaliyeti olabileceği ihtimalini güçlendiriyor.
Kaspersky, MoonBounce’ı çok yüksek ihtimalle en az 2012’den beri dünya çapında siber casusluk ve siber kabahat kampanyaları yürüten, Çince konuşan bir tehdit aktörü olduğu geniş çapta bildirilen APT41’e bağlıyor. Tıpkı ağ, APT41 ile Çince konuşan öbür tehdit aktörleri içinde muhtemel bir ilişki olduğunu da öne sürüyor.
Şimdiye kadar bellenim önyükleme seti, yüksek teknoloji pazarındaki bir holding şirketinin tek bir makinesinde bulundu. Lakin, başka ilişkili makûs niyetli örneklere (ScrambleCross ve yükleyicileri gibi) birkaç öteki ağda da rastlandı.
GReAT Kıdemli Güvenlik Araştırmacısı Denis Legezo, şunları söylemiş oldu: “MoonBounce üzerinde yaptığımız araştırmalar sırasında bulunan ek berbat maksatlı yazılım eklentilerini bilhassa bağlayamasak da Çince konuşan kimi tehdit aktörleri, çeşitli kampanyalarına yardımcı olmak için kelam konusu araçları birbirleriyle paylaşıyor üzere görünüyor. Bilhassa MoonBounce ve Microcin içinde bir ilişki olduğunu düşünüyoruz.”
Kaspersky Global Araştırma ve Tahlil Grubu (GReAT) Araştırmacısı Mark Lechtik de şunları aktarıyor: “En son UEFI önyükleme seti, 2020’de bildirdiğimiz MosaicRegressor ile karşılaştırıldığında tıpkı kayda paha ilerlemeleri gösteriyor. Aslında bellenimdeki evvelinde güzel huylu bir çekirdek bileşenini, sistemde makûs hedefli yazılım dağıtımını kolaylaştırabilecek bir bileşene dönüştürmek değerli bir yenilik. Bunu evvelki kıyaslanabilir bellenim önyükleme setlerinde görmemiştik ve tehdidi epeyce daha zımnî hale getiriyor. 2018’de UEFI tehditlerinin popülerlik kazanacağını kestirim etmiştik, bu eğilim gerçekleşiyor üzere görünüyor. 2022’de ek bootkit’ler bulduğumuza şaşırmayacağız. her neyse ki dağıtıcılar donanım yazılımı hücumlarına daha fazla dikkat etmeye başladı. BootGuard ve Sağlam Platform Modülleri üzere donanım yazılımı güvenlik teknolojileri yavaş yavaş benimseniyor.”
Kaynak: (BHA) – Beyaz Haber Ajansı