卡巴斯基研究人員透露 UEFI 惡意程序 MoonBounc

卡巴斯基研究人員透露了植入到 UEFI 固件中的惡意程序 MoonBounce。該惡意程序被認為來自于 APT41 aka Winnti 或 Double Dragon。惡意程序修改了主板上名為 SPI flash 的元件，它不在硬盤上，因此格式化硬盤或更換硬盤不會清除惡意程序。修改后的固件鏡像允許攻擊者攔截引導序列的執行流，引入一個復雜的感染鏈。研究人員認為，黑客對 UEFI 系統的工作原理有著深刻的理解。感染鏈只在內存中運行，硬盤上沒有留下攻擊痕跡。黑客主要對 IT 行業、社交媒體、電信、非營利組織和醫療機構進行攻擊。