Moriya Rootkit
Aktif bir casusluk kampanyasının bir parçası olarak, infosec araştırmacıları tarafından Moriya olarak adlandırılan yeni ve özellikle gizli bir rootkit gözlemlendi. Operasyon TunnelSnake olarak izleniyor ve 2018'de yeniden başladığı ve halen aktif olduğu görülüyor. Kampanya, yalnızca bir avuç belirli yüksek değerli varlığı hedefleyen kapsam açısından sınırlı görünüyor. Şu ana kadar Moriya Rootkit ile enfekte olmuş 10'dan az kurban tespit edildi. Ele geçirilen ağlar, Asya ve Afrika diplomatik kuruluşlarına ve diğer yüksek profilli kuruluşlara aitti. Bilgisayar korsanlarının görünürdeki amacı, kurbanlarının iç ağlarının kontrolünü ele geçirmek, kalıcılığı sağlamak ve veri toplarken uzun süre gizli kalmaktır. İlk Moriya Rootkit bulaşmasından sonra, sömürü sonrası faaliyetlerde birkaç başka kötü amaçlı yazılım tehdidi kullanılır. Bu tehditler arasında China Chopper , Termite , Bouncer ve Earthworm bulunur. Saldırıdan sorumlu olan tam APT veya hacker grubu belirlenmemiş olsa da, operasyonun bazı özellikleri, Çince konuşan bir tehdit aktörü olduğuna işaret ediyor.
Gelişmiş Gizlilik Yeteneklerine Sahip Bir Rootkit
Moriya Rootkit, son derece uzmanlaşmış tehdit aktörleri arasında, tehdit araçlarını daha sofistike, özel ihtiyaçlarına daha uygun ve ek tespit önleme teknikleriyle donatılmış hale getirmek için ek çaba ve kaynak yatırma eğilimini takip ediyor. Tehdit aktörüne, tehlikeye atılan makine üzerinde neredeyse tam kontrol sağlarken kendilerini işletim sisteminin derinliklerine gömdüklerinden, Rootkit'leri ortaya çıkarmak genellikle daha zordur. Moriya Rootkit, kendisini yalnızca ayrıcalıklı ve güvenilir bir kodun çalıştırılmasının beklendiği sistem belleğinin bir bölgesi olan Windows çekirdeğinin adres alanına yerleştirir. Kötü amaçlı yazılım tehdidi oluşturulduktan sonra, TunnelSnake Operatörlerinin virüslü sisteme gelen trafiği engellemesine ve analiz etmesine olanak tanır.
Varlığını daha fazla maskelemek için, Moriya Rootkit komutları almak için uzak bir Komut ve Kontrol sunucusuyla iletişime güvenmiyor. Bunun yerine, tehdit, kurbanın dahili ağının olağan trafiğiyle birleştirilen özel hazırlanmış paketleri tarar. Moriya Rootkit ve TunnelSnake operasyonlarının arkasındaki operatörlerin tespitten kaçmaya ve seçilen hedeflere mümkün olduğu kadar uzun süre erişimi sürdürmeye büyük önem verdiğinin bir başka işareti.
