卡巴斯基研究人员透露 UEFI 恶意程序 MoonBounc

卡巴斯基研究人员透露了植入到 UEFI 固件中的恶意程序 MoonBounce。该恶意程序被认为来自于 APT41 aka Winnti 或 Double Dragon。恶意程序修改了主板上名为 SPI flash 的元件，它不在硬盘上，因此格式化硬盘或更换硬盘不会清除恶意程序。修改后的固件镜像允许攻击者拦截引导序列的执行流，引入一个复杂的感染链。研究人员认为，黑客对 UEFI 系统的工作原理有着深刻的理解。感染链只在内存中运行，硬盘上没有留下攻击痕迹。黑客主要对 IT 行业、社交媒体、电信、非营利组织和医疗机构进行攻击。