卡巴斯基(Kaspersky)的網絡安全研究人員最近發現了一種新的惡意軟件,可以繞過正常安全保護,例如在防病毒中。
根據專家的說法,即使以驅動器格式或更換,也無法輕易將其刪除。最新的發現還表明,這種安全威脅來自政府贊助者的一個與中國相關的間諜組織APT41。
月經惡意軟件有多危險
根據Fossbytes的一份報告,Moonbounce惡意軟件的獨特部分是它在主板的SPI內存中蓬勃發展的能力。
與通常在硬盤驅動器中蓬勃發展的其他惡意軟件不同,即使更換硬盤驅動器後,它仍將保留在計算機中。無論哪種方式,重新安裝您的操作系統都不會做任何刪除它的事情。
卡巴斯基說,只有一種方法可以擺脫這個討厭的軟件。由於該惡意軟件被認為是啟動套件,因此只能通過執行稱為SPI內存重新刷新的複雜過程來消除它。
可以在計算機中完全刪除它的另一個昂貴的解決方案是更換PC的主板。
儘管這是網絡安全分析師第一次遇到Moonbounce惡意軟件,但其他惡意軟件以前已經生活在主板的SPI內存中。其中包括Mosaicregressor,Espectre,Uefi Bootkit和Lojax。
卡巴斯基的研究人員說,該惡意軟件一開始就具有挑戰性,因為它似乎是無法實現的。但是,隨著時間的流逝,它們會習慣它,直到它成為常規的一部分。
中國政府贊助的團體MoonBounce惡意軟件
根據卡巴斯基的說法,在另一份報告中技術雷達1月24日,星期一,最近發現的惡意軟件是用於多階段攻擊的,因此成為了第一階段的惡意軟件。
有時,這種威脅可以通過使用設備或一組設備進行攻擊來感染其他系統。這些小工具後來將成為勒索軟件,遠程代碼文件和數據收穫者的媒體。
儘管它很少見,但據信MoonBounce惡意軟件仍處於一個稱為APT4的間諜組織的控制之下。據稱,這種網絡犯罪分子與中國政府有關。
卡巴斯基說,發現第二階段的惡意軟件和月亮脈中存在於同一設備中。他們在APP41操作的類似服務器基礎架構下被捕獲。
截至發稿時,俄羅斯的防病毒提供商尚未知道MoonBounce實際上在受影響的設備上輸入的方式。
卡巴斯基說:“作為針對此攻擊的安全措施,建議定期更新UEFI固件,並在適用的情況下驗證Bootguard。同樣,如果在機器上支持相應的硬件,則可以啟用信任平台模塊。”
中國黑客無處不在
關於本文,技術時報在2021年9月報導說人行道惡意軟件被發現與已知的中國間諜集團Grayfly相連。
斯洛伐克網絡安全公司ESET透露了有關此報告的詳細信息。它說,這是負責Winnti惡意軟件傳播的同一組。
同時,WebDav-O計算機病毒被發現剝削了俄羅斯聯邦機構。這類似於特洛伊木馬,但在特殊的變體中,稱為“ BlueTraveller”。據報導,這是一個臭名昭著的中國黑客小隊的任務管理員的控制。
本文由技術時報擁有
約瑟夫·亨利(Joseph Henry)撰寫
