카스퍼스키는 2019년 이후 UEFI 펌웨어에 칩입하는 멀웨어가 늘어났다고 설명합니다. 대부분의 멀웨어는 EFI 시스템 파티션에 저장되지만 올해 발견된 새로운 UEFI 악성코드는 메인보드의 SPI 플래시 메모리를 공격 대상으로 삼습니다.
MoonBounce는 SPI 플래시 메모리에 침입하는 최초의 UEFI 멀웨어는 아닙니다. 하지만 더 복잡한 공격과 더 뛰어난 기술, 무엇보다 원격 감염이 가능하다는 점이 특징입니다.
문바운스는 EFI 부트 서비스 테이블의 기능을 후킹해 윈도우 로더에 파고들어 svchost.exe 프로세스에 멀웨어를 주입합니다. 하지만 그 다음에는 아무런 움직임이 없었는데, 이것만으로 작동하는 건 아니고 네트워크를 통해 원격으로 지시를 받아 움직이는 걸로 보입니다.
카스퍼스키는 이 멀웨어가 '중국어를 사용하는 해킹 집단인 APT41'의 소행으로 보고 있습니다.