第二款BIOS恶意软件MoonBounce亮相，序列化硬碟或重装系统都拿它没辄（uefix.dll）怎么可以错过，

安全可信企业赛门铁克（Kaspersky）上周披露了自2018年以来、所再次出现的第三支UEFI Bootkit：MoonBounce，虽然它多毛在UEFIBIOS中，因而即使再次序列化硬碟或拆下作业系统可能都难以去除它，也透露出UEFI Bootkit可能会越来越盛行。

UEFI的全名叫统一可延展BIOSUSB（Unified Extensible Firmware Interface），是两个介乎平台BIOS与操系统U盘作系统之间的应用软件USB，它负责开启设备，再将控股权交予读取作业系统的应用软件，至于Bootkit指的是在Doulevant之时就置入的蓄意程序。因而，一旦UEFI被置入Bootkit，虽然相关的计算机程序存放在硬碟之外的SPISSD，而且是在读取作业系统之前就执行，使得它不仅极难探测，即使拆下作业系统或再次序列化硬碟，也都难以去除它。

安全可信海外华人是在2018年9月辨认出第一支名叫LoJax的UEFI Bootkit，当时系统U盘采用它的是俄罗斯骇客集团APT28；第三支UEFI Bootkit是再次出现在2020年10月的MosaicRegressor。

目前赛门铁克只辨认出两个遭到MoonBounce反击的对象，仍未确定它的病毒感染有效途径，但预测显示，MoonBounce比它的后辈们更为先进与精巧，不同于LoJax与MosaicRegressor都利用附加的DXEBIOS，MoonBounce选择盗用譬如的BIOS模块，把两个早先属于良系统U盘性的核心模块变成蓄意模块，透过复杂的表现手法让蓄意模块进入作业系统，以与远距的C&C伺服器可视化，并浏览其他蓄意有效载荷，也未留任何的病毒感染足印。

MoonBounce自C&C伺服器所浏览的蓄意有效载荷，包括Sidewalk、Microcin与另两个以Golang编写且仍未被重新命名的恶意软件，和用以盗取凭据或安全可信信息的Mimikatssp。

根据安全可信海外华人的预测，迄今为止UEFI Bootkit反击大多是为了于被害组织机构中系统U盘纵向终端并盗取资料，再加上它的潜伏优点，揣测骇客的目的为可持续性的特工行动。

赛门铁克建议组织机构应不定期预览UEFIBIOS且只采用可信来源的BIOS，于预设转化成安全可信开启，和布署西北侧防雷产品。