Moriya Rootkit

Moriya Rootkit Beskrivning

En ny särskilt smygande rotkit som kallades Moriya av infosec-forskare har observerats som en del av en aktiv spionagekampanj. Verksamheten spåras som TunnelSnake och verkar ha börjat tillbaka 2018 och är fortfarande aktiv. Kampanjen verkar vara begränsad i omfattning endast riktad mot en handfull specifika högvärdiga enheter. Hittills har mindre än tio offer som smittats med Moriya Rootkit upptäckts. De komprometterade nätverken tillhörde asiatiska och afrikanska diplomatiska enheter och andra högt profilerade organisationer. Det uppenbara målet för hackarna är att få kontroll över sina offrens interna nätverk, uppnå uthållighet och förbli dold under en längre tid medan man samlar in data. Efter den första Moriya Rootkit-infektionen används flera andra hot mot skadlig programvara efter aktiviteter efter exploatering. Dessa hot inkluderar China Chopper , Termite , Bouncer och Earthworm. Medan den exakta APT- eller hackargruppen som är ansvarig för attacken inte har fastställts, pekar vissa egenskaper hos operationen mot att det är en kinesisktalande hotaktör.

Ett rootkit med förstärkta smygmöjligheter

Moriya Rootkit följer trenden bland högspecialiserade hotaktörer att investera ytterligare ansträngningar och resurser för att göra deras hotande verktyg mer sofistikerade, bättre anpassade till deras speciella behov och utrustade med ytterligare antidetekteringstekniker. Rootkits är i allmänhet svårare att avslöja, eftersom de begraver sig djupt i operativsystemet medan de ger hotaktören nästan full kontroll över den komprometterade maskinen. Moriya Rootkit placerar sig i Windows-kärnans adressutrymme, en region i systemets minne där endast privilegierad och en betrodd kod förväntas köras. När skadan mot skadlig programvara väl är etablerad kan TunnelSnake Operators fånga upp och analysera inkommande trafik till det infekterade systemet.

För att ytterligare maskera sin närvaro förlitar sig inte Moriya Rootkit på kommunikation med en fjärrkommando-och-kontroll-server för att ta emot kommandon. I stället slogs hotsökningarna efter specialtillverkade paket samman med den vanliga trafiken i offrets interna nätverk. Ännu ett tecken på att operatörerna bakom Moriya Rootkit och TunnelSnake-operationerna lägger stor vikt vid att undvika upptäckt och bibehålla tillgången till de valda målen så länge som möjligt.