HDD交換後も感染したPCに残るUEFIファームウェアを標的とする中国製マルウェア「MoonBounce」

マザーボードに直接感染することでOSの再インストールやHDD/SSDの交換などの対処法を無効化するマルウェア「MoonBounce」が見つかりました。ロシアのインターネットセキュリティ関連大手Kasperskyによると、MoonBounceは中国政府系ハッカー集団「APT41」に関連しています。

MoonBounce: the dark side of UEFI firmware | Securelist
https://securelist.com/moonbounce-the-dark-side-of-uefi-firmware/105468/

New MoonBounce UEFI bootkit can't be removed by replacing the hard drive - The Record by Recorded Future
https://therecord.media/new-moonbounce-uefi-bootkit-cant-be-removed-by-replacing-the-hard-drive/

New Chinese Malware Found To Be Difficult To Remove From A PC
https://fossbytes.com/new-chinese-malware-found-to-be-difficult-to-remove-from-a-pc/

This dangerous malware can even survive a drive reformatting | TechRadar
https://www.techradar.com/news/this-dangerous-malware-can-even-survive-a-drive-reformatting

一般的なコンピューターウイルスは、HDD/SSDのEFIシステムパーティションと呼ばれるOSのブートローダやカーネルイメージ、ドライバなどが格納されているブート用のパーティションに感染しますが、新たに発見されたMoonBounceは「マザーボードのメモリ」に感染するという珍しい特徴を有しています。Kasperskyによると、マザーボードのメモリに感染するタイプのウイルスは「LoJax」「MosaicRegressor」に続いて史上3例目です。

この特徴ゆえに、MoonBounceは非常に複雑なプロセスを経てマザーボードのメモリをリセットするかマザーボード自体を取り替えない限り、OSやハードドライブをいくら替えようとも残り続ける上に、ハードドライブ内に痕跡が残らないことから検出も困難とのこと。

KasperskyがMoonBounceを発見したのは輸送サービス系企業のネットワーク上だそうで、このネットワーク上で発見された他のマルウェアから、Kasperskyは中国政府の関与が疑われるハッカー集団「APT41」の犯行だと判断しています。

Kasperskyは対策として、UEFIファームウェアの定期的な更新に加えて、BootGuardやTPMモジュールの有効化を促しています。