Moriya Rootkit
W ramach aktywnej kampanii szpiegowskiej zaobserwowano nowy, szczególnie skradający się rootkit, nazwany przez badaczy infosec Moriya. Operacja jest śledzona jako TunnelSnake i wydaje się, że rozpoczęła się w 2018 roku i nadal jest aktywna. Wydaje się, że kampania ma ograniczony zakres i jest skierowana tylko do kilku konkretnych, wartościowych podmiotów. Jak dotąd wykryto mniej niż 10 ofiar zarażonych Moriya Rootkit. Zainfekowane sieci należały do azjatyckich i afrykańskich placówek dyplomatycznych oraz innych znanych organizacji. Pozornym celem hakerów jest przejęcie kontroli nad wewnętrznymi sieciami swoich ofiar, osiągnięcie wytrwałości i pozostanie w ukryciu przez dłuższy czas podczas gromadzenia danych. Po początkowej infekcji Moriya Rootkit, kilka innych zagrożeń złośliwym oprogramowaniem jest wykorzystywanych w działaniach poeksploatacyjnych. Zagrożenia te obejmują China Chopper , Termite , Bouncer i Earthworm. Chociaż dokładny APT lub grupa hakerów odpowiedzialna za atak nie została określona, pewne cechy operacji wskazują, że jest to chińskojęzyczny aktor zagrażający.
Rootkit ze wzmocnionymi możliwościami ukrywania się
Moriya Rootkit podąża za trendem występującym wśród wysoce wyspecjalizowanych aktorów zagrożeń, polegającym na inwestowaniu dodatkowych wysiłków i zasobów w uczynienie ich narzędzi zagrażających bardziej wyrafinowanymi, lepiej dostosowanymi do ich konkretnych potrzeb i wyposażonymi w dodatkowe techniki ochrony przed wykrywaniem. Rootkity są na ogół trudniejsze do wykrycia, ponieważ zagrzebują się głęboko w systemie operacyjnym, dając osobie będącej zagrożeniem niemal pełną kontrolę nad zaatakowaną maszyną. Moriya Rootkit umieszcza się w przestrzeni adresowej jądra systemu Windows, regionie pamięci systemu, w którym powinien działać tylko uprzywilejowany i zaufany kod. Po ustaleniu, zagrożenie złośliwym oprogramowaniem umożliwia operatorom TunnelSnake przechwytywanie i analizowanie ruchu przychodzącego do zainfekowanego systemu.
Aby dodatkowo ukryć swoją obecność, Moriya Rootkit nie polega na komunikacji ze zdalnym serwerem Command-and-Control w celu odbierania poleceń. Zamiast tego skanowanie zagrożeń w poszukiwaniu spreparowanych pakietów łączyło się ze zwykłym ruchem sieci wewnętrznej ofiary. Kolejny znak, że operatorzy stojący za Moriya Rootkit i operacjami TunnelSnake kładą duży nacisk na unikanie wykrycia i utrzymanie dostępu do wybranych celów tak długo, jak to możliwe.
