Moriya Rootkit

Descrição do Moriya Rootkit

Um novo rootkit especialmente furtivo apelidado de Moriya pelos pesquisadores de Infosec foi observado como parte de uma campanha de espionagem ativa. A operação está sendo rastreada como TunnelSnake e parece ter começado em 2018 e ainda está ativa. A campanha parece ter um escopo limitado, visando apenas um punhado de entidades específicas de alto valor. Até agora, menos de 10 vítimas infectadas com Moriya Rootkit foram detectadas. As redes comprometidas pertenciam a entidades diplomáticas asiáticas e africanas e outras organizações de alto perfil. O objetivo aparente dos hackers é obter o controle das redes internas de suas vítimas, obter persistência e permanecer oculto por um tempo prolongado durante a coleta de dados. Após a infecção inicial do Moriya Rootkit, várias outras ameaças de malware são usadas em atividades pós-exploração. Essas ameaças incluem o China Chopper, o Termite, o Bouncer e o Earthworm. Embora o APT exato ou grupo de hackers responsável pelo ataque não tenha sido determinado, certas características da operação apontam para que ele seja um ator de ameaça que fala chinês.

Um rootkit com recursos de dissimulação aprimorados

O Moriya Rootkit segue a tendência entre os atores de ameaças altamente especializados de investir esforços e recursos adicionais para tornar suas ferramentas ameaçadoras mais sofisticadas, mais adequadas às suas necessidades específicas e equipadas com técnicas anti-detecção adicionais. Em geral, os rootkits são mais difíceis de descobrir, pois eles se enterram profundamente no sistema operacional e fornecem ao agente da ameaça controle quase total sobre a máquina comprometida. O Moriya Rootkit se coloca no espaço de endereço do kernel do Windows, uma região da memória do sistema onde apenas um código privilegiado e confiável deve ser executado. Uma vez estabelecida, a ameaça de malware permite que os Operadores TunnelSnake interceptem e analisem o tráfego de entrada para o sistema infectado. 

Para mascarar ainda mais a sua presença, o Moriya Rootkit não depende da comunicação com um servidor remoto de Comando e Controle para receber comandos. Em vez disso, a ameaça procura por pacotes personalizados mesclados com o tráfego normal da rede interna da vítima. Mais um sinal de que os operadores por trás das operações Moriya Rootkit e TunnelSnake enfatizam a evasão da detecção e a manutenção do acesso aos alvos escolhidos pelo maior tempo possível.