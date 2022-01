2022年01月25日 14時00分 セキュリティ

HDD交換後も感染したPCに残るUEFIファームウェアを標的とする中国製マルウェア「MoonBounce」



マザーボードに直接感染することでOSの再インストールやHDD/SSDの交換などの対処法を無効化するマルウェア「MoonBounce」が見つかりました。ロシアのインターネットセキュリティ関連大手Kasperskyによると、MoonBounceは中国政府系ハッカー集団「APT41」に関連しています。



MoonBounce: the dark side of UEFI firmware | Securelist

https://securelist.com/moonbounce-the-dark-side-of-uefi-firmware/105468/



New MoonBounce UEFI bootkit can't be removed by replacing the hard drive - The Record by Recorded Future

https://therecord.media/new-moonbounce-uefi-bootkit-cant-be-removed-by-replacing-the-hard-drive/



New Chinese Malware Found To Be Difficult To Remove From A PC

https://fossbytes.com/new-chinese-malware-found-to-be-difficult-to-remove-from-a-pc/



This dangerous malware can even survive a drive reformatting | TechRadar

https://www.techradar.com/news/this-dangerous-malware-can-even-survive-a-drive-reformatting



一般的なコンピューターウイルスは、HDD/SSDのEFIシステムパーティションと呼ばれるOSのブートローダやカーネルイメージ、ドライバなどが格納されているブート用のパーティションに感染しますが、新たに発見されたMoonBounceは「マザーボードのメモリ」に感染するという珍しい特徴を有しています。Kasperskyによると、マザーボードのメモリに感染するタイプのウイルスは「LoJax」「MosaicRegressor」に続いて史上3例目です。



この特徴ゆえに、MoonBounceは非常に複雑なプロセスを経てマザーボードのメモリをリセットするかマザーボード自体を取り替えない限り、OSやハードドライブをいくら替えようとも残り続ける上に、ハードドライブ内に痕跡が残らないことから検出も困難とのこと。





KasperskyがMoonBounceを発見したのは輸送サービス系企業のネットワーク上だそうで、このネットワーク上で発見された他のマルウェアから、Kasperskyは中国政府の関与が疑われるハッカー集団「APT41」の犯行だと判断しています。



Kasperskyは対策として、UEFIファームウェアの定期的な更新に加えて、BootGuardやTPMモジュールの有効化を促しています。