التخطي إلى المحتوى الرئيسي

APT الصينية تنشر غرسة MoonBounce في البرامج الثابتة UEFI


يكشف الهجوم شديد الاستهداف عن مستوى جديد من التطور في الهجمات ضد البرامج الثابتة لـ UEFI.









كشف باحثو الأمن النقاب عن MoonBounce ، وهو عبارة عن غرسة مخصصة للبرامج الثابتة UEFI تُستخدم في الهجمات المستهدفة.


يُعتقد أن الغرسة من عمل APT41 ، وهي مجموعة قرصنة متطورة تتحدث اللغة الصينية تُعرف أيضًا باسم Winnti أو Double Dragon. 

في 20 يناير ، قال باحثو كاسبرسكي إنه في نهاية العام الماضي ، كشف الفريق عن حالة اختراق للواجهة الموحدة للبرامج الثابتة الموسعة (UEFI) بسبب تعديل مكون واحد في البرنامج الثابت - وهو عنصر أساسي يسمى فلاش SPI ، الموجود على اللوحة الأم.

وأشار الفريق إلى أنه "نظرًا لوضعه على فلاش SPI الموجود على اللوحة الأم بدلاً من القرص الصلب ، فإن الغرسة قادرة على الاستمرار في النظام عبر تنسيق القرص أو الاستبدال".

لم ينتج عن تعديل البرنامج الثابت استمرارًا عند مستوى يصعب إزالته فحسب ، بل قال الفريق إن صورة البرنامج الثابت "تم تعديلها بواسطة المهاجمين بطريقة تسمح لهم باعتراض تدفق التنفيذ الأصلي لتسلسل تمهيد الجهاز" وإدخال سلسلة عدوى متطورة ".

يقال إن مطور برنامج MoonBounce UEFI rootkit لديه فهم عميق وشامل لكيفية عمل أنظمة UEFI.

وأوضح الباحثون أن "مصدر الإصابة يبدأ بمجموعة من الخطافات التي تعترض تنفيذ العديد من الوظائف في جدول خدمات التمهيد EFI ، وهي AllocatePool و CreateEventEx و ExitBootServices". "تُستخدم هذه الخطافات لتحويل تدفق هذه الوظائف إلى كود قشرة ضار يلحقه المهاجمون بصورة CORE_DXE ، والتي بدورها تُنشئ خطافات إضافية في المكونات اللاحقة لسلسلة التمهيد ، وهي مُحمل Windows."

"تسهل هذه السلسلة متعددة المراحل من الخطافات انتشار التعليمات البرمجية الضارة من صورة CORE_DXE إلى مكونات التمهيد الأخرى أثناء بدء تشغيل النظام ، مما يسمح بإدخال برنامج تشغيل ضار إلى مساحة عنوان ذاكرة Windows kernel."

يقول Kaspersky إن هذا التصحيح الفردي حوّل برنامج UEFI الثابت "إلى تخزين متخفي ومستمر للغاية للبرامج الضارة في النظام" - وهو واحد كان من الصعب اكتشافه حيث لم تكن هناك حاجة لإضافة برامج تشغيل جديدة أو إجراء المزيد من التغييرات. 

بالإضافة إلى ذلك ، تعمل سلسلة العدوى في الذاكرة فقط ، وبالتالي لا توجد آثار على القرص الصلب للهجوم بدون ملفات. 

لم يتمكن Kaspersky من الحصول على عينة من الحمولة حتى الآن ، ولم يكتشف الفريق كيفية حدوث العدوى الأولية - على الرغم من الافتراض بأن العدوى قد تحققت عن بُعد. 

ومع ذلك ، تم العثور على غرسات غير تابعة لـ UEFI على الشبكة المستهدفة ، بما في ذلك البرامج الضارة ScrambleCross / SideWalk ، والتي تتصل بنفس البنية التحتية التي استخدمها المهاجمون. كان من خلال تحليل هذا النشاط أن الإسناد المحتمل كان ممكنًا. 

على حد علم Kaspersky ، فإن APT41 هي مجموعة التهديد المستمر المتقدم (APT) التي تقف وراء الاقتحام. APT الناطقة بالصينية هي جماعة ترعاها الدولة ويُعتقد أنها مسؤولة عن هجمات واسعة النطاق ضد قطاع تكنولوجيا المعلومات وشركات التواصل الاجتماعي والاتصالات والمؤسسات غير الربحية والرعاية الصحية. 

فيما يتعلق بالمنظمة الضحية في هذه الحالة ، ذكرت كاسبيرسكي هدفًا "يتوافق مع منظمة تتحكم في العديد من المؤسسات التي تتعامل مع تكنولوجيا النقل".

في سبتمبر 2020 ، وجهت وزارة العدل الأمريكية (DoJ) اتهامات ضد خمسة أعضاء مشتبه بهم في APT41.

يقول كاسبيرسكي: "يمكننا الآن أن نقول إن تهديدات UEFI أصبحت تدريجيًا هي القاعدة". "مع وضع ذلك في الاعتبار ، يتخذ البائعون المزيد من الاحتياطات للتخفيف من الهجمات مثل MoonBounce ، على سبيل المثال من خلال تمكين Secure Boot افتراضيًا. ونقدر أنه في سباق التسلح المستمر هذا ، ستستمر الهجمات ضد UEFI في الانتشار ، مع تطور المهاجمين وإيجاد طرق لاستغلال وتجاوز الإجراءات الأمنية الحالية ".


المشاركات الشائعة من هذه المدونة

دعنا نذهب فيديو: الاتصال بصريا

يعد الفيديو وسيلة ميسورة التكلفة لزيادة المبيعات والتواصل مع الفرق ودعم العملاء وتدريب الموظفين. أظهر العامان الماضيان مدى أهمية الفيديو بالنسبة للشركات الصغيرة. سرّع جائحة COVID من تبني الأعمال للفيديو ، سواء من أجل التعاون أو الاتصالات الخارجية. بالنسبة للعديد من الشركات ، يعد الفيديو أيضًا أداة للبحث عن العملاء المحتملين في جميع أنحاء العالم وتسويقهم وتقديمهم والالتقاء بهم. على نحو متزايد ، تقوم الشركات بتنفيذ الفيديو لدعم مبادرات العمل عن بعد. تقدر مؤسسة جارتنر أن 31٪ من جميع العاملين في جميع أنحاء العالم سيكونون عن بُعد هذا العام ، وهو رقم يشمل أولئك الذين يعملون بجدول زمني هجين أو بعيد تمامًا. سيكون لدى الولايات المتحدة أكبر نسبة من العمال عن بعد في عام 2022 ، حيث ستشكل 53٪ من القوة العاملة. القدرة على دعم الفيديو الفيديو عنصر حاسم في العمل عن بعد. هناك شيء مميز حول مشاركة الاتصال المرئي مع زملاء العمل ، وغالبًا ما يحفز الإبداع والتعاون. يمكنك رؤية تفاعل الأشخاص في الوقت الفعلي ، دون الحاجة إلى التردد أو محاولة قراءة "نغمة" البريد الإلكتروني. بالإضافة إلى ذلك ، يمكن مق

لا يزال هجوم برامج الفدية على FinalSite يعطل خدمات البريد الإلكتروني في آلاف المدارس

أوصت الشركة العملاء بالحد من استخدام البرامج لتحديثات المعلومات الهامة صباح يوم الجمعة حيث سعت المدارس إلى مراسلة أولياء الأمور حول COVID والإغلاق المرتبط بالثلوج. لا تزال شركة FinalSite لتكنولوجيا التعليم في طور التعافي من هجوم فدية مدمر أدى إلى شل العديد من الخدمات التي تقدمها لآلاف المدارس في جميع أنحاء العالم هذا الأسبوع. في تحديث صباح يوم الجمعة ، قالت الشركة إن "الغالبية العظمى" من مواقعها تعمل على الواجهة الأمامية ، لكن العديد من الأنظمة لا تزال تواجه مجموعة متنوعة من المشكلات. وحثوا عملاءهم - الذين يشملون آلاف المدارس في 115 دولة مختلفة - على تقييد "استخدام البرامج لتحديثات المعلومات الهامة للواجهة الأمامية" حتى يتأكدوا من أن جميع الوظائف تعمل بشكل كامل. وقالت الشركة: "تشمل أمثلة الاستخدام التي يجب تجنبها إرسال بريد إلكتروني / إشعارات ، ومهام سير العمل ، والاعتماد على التقويم والتنبيهات الرياضية ، وتحميل البيانات وما إلى ذلك". أثناء عودة بعض أنظمة الواجهة الأمامية ، قال موقع FinalSite إن بعض التصميم قد يكون مفقودًا ، وقد لا يتمكن المستخدمون من الو

Samsung Galaxy S22 مقابل iPhone 13: دعنا نقارن الأرقام

الرائد الجديد الأكثر ملاءمةً للميزانية من Samsung وعروضه متوسطة المدى تتماشى مع نظيرتها التي تعمل بنظام iOS لمعرفة ما إذا كانت Apple أو Samsung ستسودان الصدارة في أوائل عام 2022 في ذلك الوقت من السنة مرة أخرى. لقد انتهينا جميعًا من التعافي من العطلات ، والحب في الأجواء مع اقتراب عيد الحب ، وتطلق Samsung أحدث وأكبر الإدخالات في خط Galaxy S الرئيسي . هذه المرة ، تقدم الشركة بعضًا من أفضل كاميراتها على الإطلاق ، وتقليل مطبات الكاميرا ، وشحن أسرع ، من بين تحسينات أخرى. في حين أن المقارنة الأكثر منطقية بين هاتفي Galaxy S22 و Galaxy S22 + الجديدتين قد تكون عبارة عن تشكيلة تفاح إلى تفاح مقابل برامج Android الرئيسية الأخرى ، سنفعل شيئًا مختلفًا قليلاً هنا ونقارن بين هذه التفاحات ، حسناً ، Apple. على وجه التحديد ، iPhone 13. ستساعد هذه المقارنة جنبًا إلى جنب هؤلاء المتسوقين الذين ما زالوا على الحياد حول ما إذا كانوا يريدون الانضمام إلى فريق Blue Bubble أو فريق Green Bubble من خلال وضع مواصفات Samsung Galaxy S22 و Galaxy S22 + جنبًا إلى جنب مع أقرب نظيرتها التي تعمل بنظام iOS. بالطبع ، الاختلافا