MoonBounce: un nuevo bootkit firmado por APT41

Aunque afortunadamente el ecosistema de bootkits no está demasiado poblado, la aparición de nuevas amenazas como MoonBounce es, sin duda, una mala noticia, y es que este tipo de amenaza es particularmente persistente. Por si no sabes en qué consiste, un bootkit es una clase de rootkit que se instala en el proceso de inicio del sistema, lo que le da control total del sistema desde su mismo inicio, antes incluso de la carga del sistema operativo. ¿Qué quiere decir esto? Pues que persisten incluso si se reinstala el sistema operativo.

A su persistencia se suma que, por su ubicación, pasan desapercibidos para no pocas soluciones de seguridad, que no exploran esa región concreta de los sistemas. Como puedes imaginar, desarrollar un patógeno de este tipo es algo complejo, así que cuando aparece alguna novedad, como es el caso de MoonBounce, un factor clave es averiguar quién se puede encontrar tras el mismo, tanto para intentar averiguar sus intenciones, como para aprovechar el conocimiento de dicho grupo para trabajar en una solución para dicha amenaza.

Tal es el caso de MoonBounce, un nuevo bootkit de firmware detectado in the wild por Kaspersky, y que se esconde dentro del firmware de la UEFI de los equipos afectados. Un bootkit que, según los investigadores de la firma de seguridad, muestras bastante más complejidad que otros tipos de patógenos similares detectados en el pasado, lo que convertiría a MoonBounce en el bootkit más complejo visto hasta la fecha. El malware y las campañas llevadas a cabo con el mismo estarían firmadas, según Kaspersky, por el más que conocido grupo de origen chino APT41.

MoonBounce fue detectado por primera vez en la primavera de 2021 por el escáner de firmware de Kaspersky, una de las herramientas incluidas en sus soluciones de seguridad y, al ser analizados, los investigadores determinaron que el maleare se instala en el componente CORE_DXE del firmware, al que se recurre en una fase temprana de la secuencia de arranque UEFI y, a partir de es paso inicial, intercepta diversas funciones del sistema, al tiempo que se comunica con su servidor de comando y control, del que como no podría ser de otra manera inicia la descarga de las diversas payloads que determinarán el comportamiento del malware en el sistema.

MoonBounce: en la cara oculta de la Luna del sistema

Para dificultar su rastreo, MoonBounce reduce significativamente su huella al no dejar rastro alguno en el disco duro del sistema atacado. Todas sus operaciones se llevan a cabo exclusivamente en memoria, por lo que a la hora de realizar un análisis forense resulta imposible detectar las cargas útiles maliciosas descargadas y empleadas por el patógeno. Esta es la razón por la que una detección temprana, basada en el análisis del firmware del sistema, sea un elemento clave para prevenir la amenaza que supone.

Durante sus pruebas, los investigadores de la compañía detectaron varias cargas maliciosas ya conocidas previamente, como ScrambleCross, Mimikat_ssp y Microcin, entre otras, lo que demuestra la gran capacidad de ataque de MoonBounce una vez que ha conseguido infectar un sistema. Analizando su comportamiento, los investigadores encontraron también varios elementos dirigidos, específicamente, a lograr llevar a cabo ataques más sutiles y sigilosos.

La combinación proporcionada por las acciones y la complejidad de MoonBounce, sumadas a su más que probable autoría por parte de APT41, lleva a los investigadores a la conclusión de que sus principales objetivos son el movimiento lateral y la exfiltración de datos, de lo que podemos colegir que sus objetivo principal son las organizaciones, ya sean públicas o privadas, y que el espionaje es su principal misión. Y una clave más en este sentido es que la muestra detectada hasta el momento se encontraba en un sistema integrado en la infraestructura de un grupo dedicado a la alta tecnología.

«Quizás lo más importante es que este último bootkit UEFI muestra notables avances en comparación con MosaicRegressor, del que informamos en 2020. El hecho de transformar un componente central previamente benigno en el firmware a uno que puede facilitar el despliegue de malware en el sistema es una innovación que no se ha visto en anteriores bootkits de firmware “in the wild” y hace que la amenaza sea mucho más sigilosa.

Ya predijimos en 2018 que las amenazas UEFI ganarían en popularidad, y esta tendencia parece estar materializándose. No nos sorprendería encontrar más bootkits en 2022. Afortunadamente, los proveedores han comenzado a prestar más atención a los ataques al firmware, y se están adoptando gradualmente más tecnologías de seguridad del firmware, como BootGuard y Trusted Platform Modules«, comenta Mark Lechtik, investigador de seguridad senior del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky.

«Aunque no podemos relacionar definitivamente los implantes de malware adicionales encontrados durante nuestra investigación con MoonBounce específicamente, parece que algunos actores de amenazas de habla china están compartiendo herramientas entre sí para ayudarse en sus diversas campañas; especialmente parece haber una conexión de baja confianza entre MoonBounce y Microcin«, añadeer Denis Legezo, investigador de seguridad senior de GREaT.

Más información: SecureList