Новое исследование выявляет угрозы от импланта MoonBounce

Специалист по анализу вредоносного ПО, известный как Seeker, представил детальное исследование о работе импланта MoonBounce на уровне UEFI-прошивки. В центре внимания — DXE Core, ключевой элемент загрузочной архитектуры, находящийся в самом ядре прошивки. MoonBounce проникает в исполняемый код DXE Core, внедряя вредоносные функции в существующие процессы. Это позволяет ему перехватывать важные моменты загрузки системы, используя механизмы inline-перехватов в EFI-сервисах для контроля над памятью и переходом к ОС. Исследование подчеркивает, что MoonBounce эффективно адаптируется к разным сценариям загрузки, делая его трудным для обнаружения. Ли Бяомин ссылается на работу команды «Лаборатории Касперского» и компании Binarly, связывая данный имплант с группировкой APT41. Это исследование иллюстрирует, как современные угрозы развиваются и усложняются, затрудняя их нейтрализацию.