セキュリティ

HDD交換後も感染したPCに残るUEFIファームウェアを標的とする中国製マルウェア「MoonBounce」


マザーボードに直接感染することでOSの再インストールやHDD/SSDの交換などの対処法を無効化するマルウェア「MoonBounce」が見つかりました。ロシアのインターネットセキュリティ関連大手Kasperskyによると、MoonBounceは中国政府系ハッカー集団「APT41」に関連しています。

MoonBounce: the dark side of UEFI firmware | Securelist
https://securelist.com/moonbounce-the-dark-side-of-uefi-firmware/105468/

New MoonBounce UEFI bootkit can't be removed by replacing the hard drive - The Record by Recorded Future
https://therecord.media/new-moonbounce-uefi-bootkit-cant-be-removed-by-replacing-the-hard-drive/

New Chinese Malware Found To Be Difficult To Remove From A PC
https://fossbytes.com/new-chinese-malware-found-to-be-difficult-to-remove-from-a-pc/

This dangerous malware can even survive a drive reformatting | TechRadar
https://www.techradar.com/news/this-dangerous-malware-can-even-survive-a-drive-reformatting

一般的なコンピューターウイルスは、HDD/SSDのEFIシステムパーティションと呼ばれるOSのブートローダやカーネルイメージ、ドライバなどが格納されているブート用のパーティションに感染しますが、新たに発見されたMoonBounceは「マザーボードのメモリ」に感染するという珍しい特徴を有しています。Kasperskyによると、マザーボードのメモリに感染するタイプのウイルスは「LoJax」「MosaicRegressor」に続いて史上3例目です。

この特徴ゆえに、MoonBounceは非常に複雑なプロセスを経てマザーボードのメモリをリセットするかマザーボード自体を取り替えない限り、OSやハードドライブをいくら替えようとも残り続ける上に、ハードドライブ内に痕跡が残らないことから検出も困難とのこと。


KasperskyがMoonBounceを発見したのは輸送サービス系企業のネットワーク上だそうで、このネットワーク上で発見された他のマルウェアから、Kasperskyは中国政府の関与が疑われるハッカー集団「APT41」の犯行だと判断しています。

Kasperskyは対策として、UEFIファームウェアの定期的な更新に加えて、BootGuardやTPMモジュールの有効化を促しています。

この記事のタイトルとURLをコピーする

・関連記事
90以上のWordPressのテーマとプラグインにウェブサイトへの不正アクセスを可能にするバックドアが仕込まれていた - GIGAZINE

2022年北京五輪の選手用アプリには重大なセキュリティの欠陥があることが判明、キーワード検閲リストも発見される - GIGAZINE

「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ - GIGAZINE

in セキュリティ, Posted by log1k_iy

You can read the machine translated English article here.