Kasperskyが、実環境で使用された新たなUEFIファームウェアブートキット「MoonBounce」を発見

[本リリースは、2022年1月20日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム（GReAT）^※1はこのたび、コンピューターのUnified Extensible Firmware Interface（UEFI）ファームウェアに潜む新たなブートキットを発見しました。これは、実際にファームウェアブートキットが使用された3件目のケースとなり、当社はこの新たなインプラントを「MoonBounce（ムーンバウンス）」と名付けました。UEFIファームウェアはコンピューターの根幹部分であり、そのコードはSPIフラッシュメモリ内に配置されます。このようなインプラントは除去が難しいことで知られ、セキュリティソリューションでも検知は困難です。2021年春に、初めて実環境でMoonBounceが使用されていることを確認し解析した結果、これまでに報告されている2件のUEFIファームウェアブートキットと比較しても明らかに高度な攻撃フローを備えていることが判明しました。この攻撃活動は、著名な高度サイバー攻撃（APT）グループ「APT41」によるものとGReATのリサーチャーはみています。

UEFIファームウェアは、ハードウェアの動作を設定するためのソフトウェアで、そのコードはSPIフラッシュメモリに格納されています。OSやインストールされているプログラムが起動する前に実行されるため、ファームウェアブートキットによって埋め込まれるマルウェアの除去は特に難しく、ハードディスクの再フォーマットやOSの再インストールでは除去できません。さらに、コードがハードディスクの外部に格納されているため、デバイスのその部分を特別にスキャンする機能がない限り、セキュリティソリューションによる検知は困難です。

MoonBounceは、実環境での使用が報告されたUEFIブートキットとしてはまだ3件目です。2021年春に、GReATのリサーチャーがカスペルスキー製品に搭載されているファームウェアスキャナー（UEFIファームウェアイメージを含むROM BIOSに隠された脅威を検知する機能。2019年より搭載）の動作を確認している時に発見しました。これまでに報告されている2件のUEFIブートキット「LoJax」「MosaicRegressor」と比較すると、MoonBounceはより複雑な攻撃フローと高度な技術において大きく進化しています。

MoonBounceは、UEFIファームウェアのCORE_DXE（DXE Foundation）コンポーネント内に配置されており、この部分はUEFIブートシーケンスの早い段階で呼び出されます。その後、特定の関数をインターセプトし一連の処理を追加することによって、MoonBounceインプラントのコンポーネントがOS内に侵入し、さらに悪意のあるペイロードを取得するためにインターネット経由で指令サーバーにアクセスすることが分かっています。今のところ、GReATのリサーチャーはこのペイロードを入手できていません。
感染チェーン自体はコンポーネントがフラッシュメモリ内で動作するため、ハードドライブに感染の痕跡を残さずわずかなフットプリントでファイルレス攻撃を可能にしています。

GReATのリサーチャーがMoonBounceによる攻撃ケースを解析する中で、同じネットワーク上の複数のノードで、複数の悪意のあるローダーや侵入後に動作するマルウェアの存在を確認しました。これには指令サーバーと通信して追加のプラグインを実行する「ScrambleCross」または「Sidewalk」と呼ばれるインメモリ型のインプラントや、侵入後に認証情報やセキュリティパスワードをダンプするために使用する一般公開されているツール「Mimikat_ssp」、当時は未知であった「Golang」ベースのバックドア、そしてサイバー脅威グループ「SixLittleMonkeys」が主として使用するマルウェア「Microcin」が含まれていました。
MoonBounceの感染経路はまだ判明していませんが、攻撃対象マシンへのリモートアクセスによるものと考えられます。LoJaxとMosaicRegressorではUEFIファームウェアにDXEドライバーを追加する方法が使用されていましたが、MoonBounceは既存のファームウェアコンポーネントを改ざんすることで、より繊細で検知されにくい攻撃を可能にしています。

また、当該ネットワークに対する攻撃では、攻撃者がファイルのアーカイブやネットワーク情報の収集といった幅広い操作を実行したことが明らかになりました。攻撃者が使用したコマンドから示唆されるのは、攻撃者は攻撃の横展開とデータの流出に関心を持っていたことです。また、UEFIインプラントが使用された点を踏まえると、攻撃者が継続的なスパイ活動に関心を持っていた可能性が高いと言えます。

当社は、MoonBounceは中国語話者の脅威攻撃グループとされるAPT41と関連が深いとみています。この攻撃活動グループは少なくとも2012年から世界中でサイバースパイ行為やサイバー犯罪活動を行っています。同じネットワーク内に前述のマルウェアがいくつか存在していることからも、APT41とそのほかの中国語話者の脅威攻撃グループの間にも関係性があることが示唆されています。

これまでのところ、MoonBounceが確認されたケースは1件のみですが、ほかの関連する悪意のあるサンプル（ScrambleCrossとそのローダーなど）は、複数の被害に遭ったほかの企業のネットワーク上で見つかっています。

Kaspersky GReATのシニアセキュリティリサーチャー、デニス・レゲゾ（Denis Legezo）は次のように述べています。「調査中に確認したほかのマルウェアインプラントについては、MoonBounceとの関係があると断定することはできません。しかし、一部の中国語話者の脅威攻撃グループが各種攻撃を支援するために相互にツールを共有しているように見えます。特に、MoonBounceとMicrocinには、信頼度は低いものの関係があると考えます」

Kaspersky GReATのシニアセキュリティリサーチャー、マーク・レクティック（Mark Lechtik）は次のように述べています。「重要なことは、当チームが2020年に報告したMosaicRegressorと比較しても、MoonBounceが同様に顕著な進歩を示していることです。事実、ファームウェア内の無害なコアコンポーネントが、システムへのマルウェアの侵入を容易にするためのコンポーネントへと変化した点は技術的な進歩であり、この脅威をはるかに検知しづらいものにしています。当チームは2018年に、将来的にUEFIの脅威が広まるだろうと予測しましたが、その傾向が現実化しているようです。2022年にほかのブートキットが発見されても不思議ではありません。幸い、各ベンダーはファームウェアへの攻撃に注目し始めており、『BootGuard』や『Trusted Platform Module（TPM）』といったファームウェアセキュリティ技術の採用が増えています」

MoonBounceについての詳細は、Securelistブログ（英語）「MoonBounce: the dark side of UEFI firmware」でご覧いただけます。

■ MoonBounceなどUEFIブートキットから保護するために、次の対策をお勧めしています。

・社内のSOCチームが、最新の脅威インテリジェンスにアクセスできるようにする。脅威インテリジェンスに対する単一のアクセスポイントである「Kaspersky Threat Intelligence Portal」では、当社が20年以上にわたり収集してきたサイバー攻撃に関するデータと知見を提供します。
・サイバー攻撃をエンドポイントレベルで検知、調査し、タイムリーに修復するために「Kaspersky Endpoint Detection and Response」などのEDRソリューションを実装する。
・ファームウェアの使用を検知できる「Kaspersky Endpoint Security for Business」などの堅固なエンドポイントセキュリティ製品を使用する。
・UEFIファームウェアを定期的に更新し、信頼できるベンダーのファームウェアのみを使用する。
・セキュアブートの設定を既定で有効にし、適用可能な場合は、BootGuardとTPMを使用する。

※1 Global Research and Analysis Team（GReAT、グレート）
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。