Мория Руткит
Новый особо скрытый руткит, прозванный исследователями информационной безопасности Moriya, был замечен как часть активной шпионской кампании. Операция отслеживается как TunnelSnake и, похоже, началась еще в 2018 году и все еще активна. Похоже, что кампания ограничена по масштабу и ориентирована только на горстку конкретных ценных организаций. На данный момент обнаружено менее 10 жертв, зараженных Moriya Rootkit. Скомпрометированные сети принадлежали азиатским и африканским дипломатическим учреждениям и другим высокопоставленным организациям. Очевидная цель хакеров - получить контроль над внутренними сетями своих жертв, добиться стойкости и оставаться скрытыми в течение длительного времени при сборе данных. После первоначального заражения Moriya Rootkit несколько других вредоносных программ используются в постэксплуатационной деятельности. Эти угрозы включают China Chopper , Termite , Bouncer и Earthworm. Хотя точная APT или хакерская группа, ответственные за атаку, не были определены, некоторые характеристики операции указывают на то, что она является китайскоязычным актором угрозы.
Руткит с расширенными возможностями скрытности
Moriya Rootkit следует за тенденцией узкоспециализированных злоумышленников вкладывать дополнительные усилия и ресурсы в то, чтобы сделать свои инструменты угроз более сложными, более подходящими для их конкретных нужд и оснащенными дополнительными методами защиты от обнаружения. Руткиты, как правило, труднее обнаружить, поскольку они глубоко зарываются в операционную систему, предоставляя злоумышленнику практически полный контроль над скомпрометированной машиной. Руткит Moriya размещается в адресном пространстве ядра Windows, в области системной памяти, где ожидается запуск только привилегированного и доверенного кода. После установки вредоносная угроза позволяет операторам TunnelSnake перехватывать и анализировать входящий трафик в зараженную систему.
Чтобы еще больше скрыть свое присутствие, Moriya Rootkit не полагается на связь с удаленным сервером Command-and-Control для получения команд. Вместо этого сканирование угроз на предмет специально созданных пакетов сливается с обычным трафиком внутренней сети жертвы. Еще один признак того, что операторы Moriya Rootkit и TunnelSnake уделяют большое внимание уклонению от обнаружения и сохранению доступа к выбранным целям как можно дольше.