Moriya Rootkit
作为积极的间谍活动的一部分,已经观察到一种新的特别隐秘的rootkit,被infosec研究人员称为Moriya。该操作被跟踪为TunnelSnake,似乎早在2018年就开始了,并且仍然处于活动状态。该广告系列的范围似乎受到限制,仅针对少数几个特定的高价值实体。到目前为止,已发现不到10名感染了Moriya Rootkit的受害者。受损的网络属于亚洲和非洲的外交实体和其他知名组织。黑客的明显目标是获得对受害者内部网络的控制,实现持久性,并在收集数据时长时间隐藏。最初的Moriya Rootkit感染后,在开发后的活动中还使用了其他几种恶意软件威胁。这些威胁包括中国斩波器,白蚁,保镖和Earth。尽管还没有确定造成这次袭击的确切APT或黑客组织,但该行动的某些特征表明它是华语威胁演员。
具有增强的隐身功能的Rootkit
Moriya Rootkit遵循高度专业化的威胁参与者的趋势,即投入更多的精力和资源,使他们的威胁工具更加复杂,更适合其特定需求,并配备其他反检测技术。 Rootkit通常更难以发现,因为它们将自己深埋在操作系统中,同时使威胁参与者几乎完全控制了受感染的计算机。 Moriya Rootkit将自己放置在Windows内核的地址空间中,该地址是系统内存的一个区域,预计仅特权和受信任的代码才能运行。一旦建立,恶意软件威胁就可以使TunnelSnake操作员拦截并分析到受感染系统的传入流量。
为了进一步掩盖其存在,Moriya Rootkit不依赖与远程命令与控制服务器的通信来接收命令。相反,威胁扫描将扫描定制的数据包,这些数据包将合并到受害人内部网络的常规流量中。另一个迹象表明,Moriya Rootkit和TunnelSnake业务背后的运营商将重点放在逃避检测并尽可能长时间地保持对选定目标的访问上。
