APT41 es un notorio grupo de piratería que ha estado activo durante al menos una década y es conocido principalmente por sus operaciones furtivas de ciberespionaje contra organizaciones de alto perfil de varios sectores industriales.
El descubrimiento de Rebote Lunar es el trabajo de investigadores de Kaspersky, que han publicado un informe técnico detallado sobre sus hallazgos.
Un sofisticado implante UEFI
UEFI (Interfaz de firmware extensible unificada) es una especificación técnica que ayuda a conectar el sistema operativo (SO) y el software de firmware en los sistemas informáticos.
Ser capaz de planificar un código malicioso llamado «bootkit UEFI» en el firmware es una excelente manera de permanecer oculto de los antivirus y cualquier herramienta de seguridad que se ejecute en el nivel del sistema operativo.
Esto se ha hecho varias veces antes, con dos ejemplos recientes que son el malware FinFisher y la puerta trasera ESPecter.
Generalmente, estas herramientas secuestran la secuencia de arranque e inicializan antes que los componentes de seguridad del sistema operativo. Son muy persistentes porque anidan en áreas que no se pueden borrar, como un espacio reservado en el disco.
En el caso de MoonBounce, la ubicación de implantación está en la memoria flash SPI de la placa base, por lo que ni siquiera un reemplazo del disco duro puede eliminarlo.
El componente de firmware enlazado es CORE_DXE, que se llama durante la fase inicial de la secuencia de arranque de UEFI.
«La fuente de la infección comienza con un conjunto de ganchos que interceptan la ejecución de varias funciones en la tabla de servicios de arranque de EFI, a saber, AllocatePool, CreateEventEx y ExitBootServices», explica Kaspersky en el informe.
«Esos ganchos se utilizan para desviar el flujo de estas funciones a un shellcode malicioso que los atacantes agregan a la imagen CORE_DXE, que a su vez configura ganchos adicionales en los componentes posteriores de la cadena de arranque, a saber, el cargador de Windows».
«Esta cadena de ganchos de varias etapas facilita la propagación de código malicioso desde la imagen CORE_DXE a otros componentes de arranque durante el inicio del sistema, lo que permite la introducción de un controlador malicioso en el espacio de direcciones de memoria del kernel de Windows».
Este controlador se ejecuta durante el inicio del kernel del sistema operativo e inyecta el malware en un proceso svchost.exe. El malware se ha inicializado por completo tan pronto como el ordenador está en funcionamiento.
A continuación, se comunica con una dirección URL C2 codificada e intenta obtener la carga útil de la siguiente etapa, que se ejecutará en la memoria.
Kaspersky no pudo recuperar esa carga útil para analizarla ni descubrir cómo exactamente los actores infectaron el firmware UEFI en primer lugar.
Objetivos y metas de la campaña
Los datos de telemetría revelan que estos ataques fueron muy específicos y Kaspersky solo detectó el rootkit de firmware en un solo caso.
Sin embargo, Kaspersky encontró múltiples muestras y cargadores de malware en otras máquinas en la misma red, pero esos no eran implantes UEFI.
Los ejemplos incluyen la puerta trasera Microcin, el ladrón de credenciales Mimikat, el implante Go, el cargador StealthMutant y el malware ScrambleCross.
En cuanto a quién fue el objetivo, la empresa de seguridad menciona una organización que controla varias empresas que se ocupan de la tecnología del transporte.
El objetivo principal de los adversarios era establecer un punto de apoyo prolongado dentro de la red y realizar ciberespionaje extrayendo datos valiosos al servidor C2.
En este contexto, los operadores de APT41 realizaron un reconocimiento analítico de la red y se movieron lateralmente en la medida de lo posible mientras eliminaban los rastros de su actividad maliciosa.
APT41 sigue siendo fuerte
Kaspersky encontró muchas pruebas que vinculan a MoonBounce con APT41, desde la implementación del propio malware ScrambleCross hasta certificados únicos recuperados de sus servidores C2 que coinciden informes anteriores del FBI sobre la actividad APT41.
Si bien el Departamento de Justicia de EE. UU. identificó y acusó a cinco miembros de APT41 en septiembre de 2020, la existencia de MoonBounce y la operación a su alrededor demuestra que la presión legal no desanimó a los actores de amenazas.
APT41 sigue siendo un actor de amenazas sofisticado que puede desarrollar herramientas evasivas que pasan por alto incluso las redes corporativas más impenetrables.
Ahora que las amenazas UEFI están cobrando más fuerza, Kaspersky recomienda que se tomen las siguientes medidas para defenderse de los atacantes que utilizan MoonBounce o malware similar:
- Habilitar arranque seguro de forma predeterminada
- Actualice el firmware regularmente
- Verifica que BootGuard esté habilitado
- Habilitar módulos de plataforma de confianza
