MoonBounceマルウェアはBIOSチップに潜み、ドライブをフォーマットしても存続する

MoonBounceは、SPIフラッシュを標的とするUEFIマルウェアとして初めて発見されたものではありません。Kasperskyによると、LoJaxやMosaicRegressorといったマルウェアはMoonBounce以前にも存在していました。しかし、MoonBounceは「攻撃フローがより複雑化し、技術的にも高度化しており、大きな進歩」を見せています。また、リモートからマシンに感染した可能性もあるようです。

輸送技術会社がこれまでに記録された唯一の攻撃

もちろん、カスペルスキーはこのマルウェアが次に何をするのかを知りたがっていました。そこで研究者たちは、感染したマシン上でマルウェアのプロセスがURLにアクセスし、次の段階のペイロードを取得してメモリ内で実行しようとする様子を観察しました。興味深いことに、この高度な攻撃のこの部分はどこにも到達していないようで、MoonBounceのその後のステップを分析することはできませんでした。おそらく、このマルウェアは発見当時はまだテスト段階だったか、特別な目的のために保留されていたのでしょう。さらに、このマルウェアはファイルベースではなく、少なくとも一部の操作はメモリ内でのみ実行されるため、企業ネットワーク上の単一のホストPC上でMoonBounceが実際に何をしたのかを正確に把握することは困難です。

カスペルスキーのログに記録されているSPIフラッシュメモリにMoonBounce感染が確認されているのは、運輸会社所有の1台のマシンのみのようです。感染経路は不明ですが、リモートから仕掛けられたものと考えられています。運輸技術会社のこの1台のマシンは、UEFI非対応のマルウェアをネットワーク上の他のマシンに拡散させたようです。このマシンの動作の多くはファイルレスでメモリ常駐型であるため、この1つのサンプルから状況を把握するのは容易ではありません。

以下のフローチャートでは、UEFI PC の電源がオンになってから、Windows がロードされ、使用可能だが感染した PC になるまでの、MoonBounce の起動と展開がどのように行われるかを説明します。

APT41の指紋を検出

カスペルスキーのようなセキュリティ研究者が行う研究のもう 1 つの重要な分野は、発見したマルウェアの背後に誰がいるのか、マルウェアの目的は何なのか、マルウェアが具体的にどのようなターゲットを狙っているのかを調査することです。

MoonBounceに関して、カスペルスキー社は、このマルウェアが「中国語圏の脅威アクターとして広く報告されている」APT41によるものであるとほぼ確信しているようです。今回の決定的な証拠は、FBIが以前APT41所有のインフラを使用していることを示すものとして報告した「固有の証明書」です。APT41はサプライチェーン攻撃の実績があるため、これはAPT41の不正活動の中心的な流れの継続と言えるでしょう。

安全対策

MoonBounceや類似のUEFIマルウェアの被害に遭わないよう、カスペルスキーはいくつかの対策を提案しています。UEFIファームウェアをメーカーから直接最新版にアップデートすること、BootGuardが利用可能な場合は有効になっていることを確認すること、そしてTrust Platform Modules（TPM）を有効にすることを推奨しています。最後に、UEFIマルウェアが検出された際に対策を講じることができるよう、システムファームウェアをスキャンして問題を検出するセキュリティソリューションの導入も推奨しています。

マーク・タイソンはトムズ・ハードウェアのニュース編集者です。ビジネスや半導体設計から、理性の限界に迫る製品まで、PCテクノロジーのあらゆる分野を網羅的にカバーすることに情熱を注いでいます。