Moriya Rootkit

Moriya Rootkit Beschrijving

Een nieuwe, bijzonder sluipende rootkit, door infosec-onderzoekers Moriya genoemd, is waargenomen als onderdeel van een actieve spionagecampagne. De operatie wordt gevolgd als TunnelSnake en lijkt in 2018 te zijn begonnen en nog steeds actief te zijn. De campagne lijkt een beperkte reikwijdte te hebben en is alleen gericht op een handvol specifieke hoogwaardige entiteiten. Tot dusver zijn er minder dan 10 slachtoffers ontdekt die besmet zijn met Moriya Rootkit. De gecompromitteerde netwerken waren eigendom van Aziatische en Afrikaanse diplomatieke entiteiten en andere spraakmakende organisaties. Het schijnbare doel van de hackers is om controle te krijgen over de interne netwerken van hun slachtoffers, persistentie te bereiken en voor langere tijd verborgen te blijven tijdens het verzamelen van gegevens. Na de eerste Moriya Rootkit-infectie worden verschillende andere malwarebedreigingen gebruikt bij post-exploitatie-activiteiten. Deze bedreigingen zijn onder meer China Chopper , Termite , Bouncer en Earthworm. Hoewel de exacte APT- of hackergroep die verantwoordelijk is voor de aanval niet is vastgesteld, wijzen bepaalde kenmerken van de operatie erop dat het een Chineessprekende bedreigingsacteur is.

Een rootkit met verbeterde stealth-mogelijkheden

De Moriya Rootkit volgt de trend onder zeer gespecialiseerde bedreigingsactoren om extra inspanningen en middelen te investeren om hun bedreigingsinstrumenten geavanceerder te maken, beter geschikt voor hun specifieke behoeften en uitgerust met aanvullende anti-opsporingstechnieken. Rootkits zijn over het algemeen moeilijker te ontdekken, omdat ze zich diep in het besturingssysteem begraven en de bedreigingsacteur bijna volledige controle geven over de gecompromitteerde machine. De Moriya Rootkit plaatst zichzelf in de adresruimte van de Windows-kernel, een gebied van het systeemgeheugen waar naar verwachting alleen geprivilegieerde en vertrouwde code wordt uitgevoerd. Eenmaal vastgesteld, stelt de malwarebedreiging de TunnelSnake-operators in staat om inkomend verkeer naar het geïnfecteerde systeem te onderscheppen en te analyseren.

Om zijn aanwezigheid verder te maskeren, vertrouwt de Moriya Rootkit niet op communicatie met een externe Command-and-Control-server om commando's te ontvangen. In plaats daarvan scant de dreiging voor op maat gemaakte pakketten die worden samengevoegd met het gebruikelijke verkeer van het interne netwerk van het slachtoffer. Nog een ander teken dat de operators achter Moriya Rootkit en de TunnelSnake-operaties veel nadruk leggen op het ontwijken van detectie en het zo lang mogelijk behouden van toegang tot de gekozen doelen.