卡巴斯基(Kaspersky)的网络安全研究人员最近发现了一种新的恶意软件,可以绕过正常安全保护,例如在防病毒中。
根据专家的说法,即使以驱动器格式或更换,也无法轻易将其删除。最新的发现还表明,这种安全威胁来自政府赞助者的一个与中国相关的间谍组织APT41。
月经恶意软件有多危险
根据Fossbytes的一份报告,Moonbounce恶意软件的独特部分是它在主板的SPI内存中蓬勃发展的能力。
与通常在硬盘驱动器中蓬勃发展的其他恶意软件不同,即使更换硬盘驱动器后,它仍将保留在计算机中。无论哪种方式,重新安装您的操作系统都不会做任何删除它的事情。
卡巴斯基说,只有一种方法可以摆脱这个讨厌的软件。由于该恶意软件被认为是启动套件,因此只能通过执行称为SPI内存重新刷新的复杂过程来消除它。
可以在计算机中完全删除它的另一个昂贵的解决方案是更换PC的主板。
尽管这是网络安全分析师第一次遇到Moonbounce恶意软件,但其他恶意软件以前已经生活在主板的SPI内存中。其中包括Mosaicregressor,Espectre,Uefi Bootkit和Lojax。
卡巴斯基的研究人员说,该恶意软件一开始就具有挑战性,因为它似乎是无法实现的。但是,随着时间的流逝,它们会习惯它,直到它成为常规的一部分。
中国政府赞助的团体MoonBounce恶意软件
根据卡巴斯基的说法,在另一份报告中技术雷达1月24日,星期一,最近发现的恶意软件是用于多阶段攻击的,因此成为了第一阶段的恶意软件。
有时,这种威胁可以通过使用设备或一组设备进行攻击来感染其他系统。这些小工具后来将成为勒索软件,远程代码文件和数据收获者的媒体。
尽管它很少见,但据信MoonBounce恶意软件仍处于一个称为APT4的间谍组织的控制之下。据称,这种网络犯罪分子与中国政府有关。
卡巴斯基说,发现第二阶段的恶意软件和月亮脉中存在于同一设备中。他们在APP41操作的类似服务器基础架构下被捕获。
截至发稿时,俄罗斯的防病毒提供商尚未知道MoonBounce实际上在受影响的设备上输入的方式。
卡巴斯基说:“作为针对此攻击的安全措施,建议定期更新UEFI固件,并在适用的情况下验证Bootguard。同样,如果在机器上支持相应的硬件,则可以启用信任平台模块。”
中国黑客无处不在
关于本文,技术时报在2021年9月报道说人行道恶意软件被发现与已知的中国间谍集团Grayfly相连。
斯洛伐克网络安全公司ESET透露了有关此报告的详细信息。它说,这是负责Winnti恶意软件传播的同一组。
同时,WebDav-O计算机病毒被发现剥削了俄罗斯联邦机构。这类似于特洛伊木马,但在特殊的变体中,称为“ BlueTraveller”。据报道,这是一个臭名昭著的中国黑客小队的任务管理员的控制。
本文由技术时报拥有
约瑟夫·亨利(Joseph Henry)撰写
