Moriya Rootkit

Un nuovo rootkit particolarmente furtivo soprannominato Moriya dai ricercatori di infosec è stato osservato come parte di una campagna di spionaggio attiva. L'operazione viene monitorata come TunnelSnake e sembra essere iniziata nel 2018 ed essere ancora attiva. La campagna sembra avere un ambito limitato e si rivolge solo a una manciata di entità specifiche di alto valore. Finora sono state rilevate meno di 10 vittime infettate da Moriya Rootkit. Le reti compromesse appartenevano a entità diplomatiche asiatiche e africane e altre organizzazioni di alto profilo. L'obiettivo apparente degli hacker è ottenere il controllo delle reti interne delle loro vittime, ottenere la persistenza e rimanere nascosti per un periodo di tempo prolungato durante la raccolta dei dati. Dopo l'infezione iniziale di Moriya Rootkit, molte altre minacce malware vengono utilizzate nelle attività successive allo sfruttamento. Queste minacce includono China Chopper , Termite , Bouncer e Earthworm. Sebbene l'esatto APT o gruppo di hacker responsabile dell'attacco non sia stato determinato, alcune caratteristiche dell'operazione indicano che si tratta di un attore di minacce di lingua cinese.

Un rootkit con capacità stealth potenziate

Il Moriya Rootkit segue la tendenza tra gli attori delle minacce altamente specializzati di investire ulteriori sforzi e risorse per rendere i loro strumenti minacciosi più sofisticati, più adatti alle loro esigenze particolari e dotati di ulteriori tecniche anti-rilevamento. I rootkit sono generalmente più difficili da scoprire, poiché si seppelliscono in profondità nel sistema operativo mentre danno all'attore della minaccia il controllo quasi completo sulla macchina compromessa. Il Moriya Rootkit si colloca nello spazio degli indirizzi del kernel di Windows, una regione della memoria del sistema in cui ci si aspetta che venga eseguito solo un codice privilegiato e affidabile. Una volta stabilita, la minaccia malware consente agli operatori di TunnelSnake di intercettare e analizzare il traffico in entrata al sistema infetto.

Per mascherare ulteriormente la sua presenza, il Moriya Rootkit non si basa sulla comunicazione con un server Command-and-Control remoto per ricevere i comandi. Invece, la minaccia esegue la scansione di pacchetti personalizzati uniti al normale traffico della rete interna della vittima. Ancora un altro segno che gli operatori dietro Moriya Rootkit e le operazioni di TunnelSnake hanno posto un forte accento sull'elusione del rilevamento e sul mantenimento dell'accesso agli obiettivi scelti il più a lungo possibile.