Moriya Rootkit

Et nyt særligt snigende rodkit kaldet Moriya af infosec-forskere er blevet observeret som en del af en aktiv spionagekampagne. Operationen spores som TunnelSnake og ser ud til at være startet tilbage i 2018 og stadig aktiv. Kampagnen ser ud til at være begrænset i omfang, der kun er rettet mod en håndfuld specifikke enheder med høj værdi. Indtil videre er mindre end 10 ofre smittet med Moriya Rootkit blevet opdaget. De kompromitterede netværk tilhørte asiatiske og afrikanske diplomatiske enheder og andre højt profilerede organisationer. Det tilsyneladende mål for hackerne er at få kontrol over deres ofres interne netværk, opnå vedholdenhed og forblive skjult i længere tid, mens data indsamles. Efter den indledende Moriya Rootkit-infektion bruges flere andre malware-trusler i aktiviteter efter udnyttelse. Disse trusler inkluderer China Chopper , Termite , Bouncer og Earthworm. Mens den nøjagtige APT- eller hackergruppe, der er ansvarlig for angrebet, ikke er bestemt, peger visse karakteristika ved operationen mod, at det er en kinesisk-talende trusselsaktør.

Et rodkit med forbedrede stealth-kapaciteter

Moriya Rootkit følger trenden blandt højt specialiserede trusselaktører om at investere yderligere indsats og ressourcer i at gøre deres truende værktøjer mere sofistikerede, bedre tilpasset deres særlige behov og udstyret med yderligere antidetektionsmetoder. Rootkits er generelt sværere at afdække, da de begraver sig dybt ned i operativsystemet, mens de giver trusselsaktøren næsten fuld kontrol over den kompromitterede maskine. Moriya Rootkit placerer sig i Windows-kernens adresseområde, en region i systemets hukommelse, hvor det kun forventes at køre privilegeret og en betroet kode. Når den er etableret, giver malware-truslen TunnelSnake Operators mulighed for at opfange og analysere indgående trafik til det inficerede system.

For yderligere at maskere sin tilstedeværelse er Moriya Rootkit ikke afhængig af kommunikation med en ekstern Command-and-Control-server for at modtage kommandoer. I stedet flettes trusselscanningerne efter specialfremstillede pakker ind i den sædvanlige trafik på ofrets interne netværk. Endnu et tegn på, at operatørerne bag Moriya Rootkit og TunnelSnake-operationerne lægger stor vægt på at undgå afsløring og opretholde adgang til de valgte mål så længe som muligt.