Moriya Rootkit
作為積極的間諜活動的一部分,已經觀察到一種新的特別隱秘的rootkit,由infosec研究人員稱為Moriya。該操作被跟踪為TunnelSnake,似乎早在2018年就開始了,並且仍然處於活動狀態。該廣告系列的範圍似乎受到限制,僅針對少數幾個特定的高價值實體。到目前為止,已發現不到10名感染了Moriya Rootkit的受害者。受損的網絡屬於亞洲和非洲的外交實體和其他知名組織。黑客的明顯目標是獲得對受害者內部網絡的控制,實現持久性,並在收集數據時長時間隱藏。最初的Moriya Rootkit感染後,在開發後的活動中還使用了其他幾種惡意軟件威脅。這些威脅包括中國斬波器,白蟻,保鏢和Earth。儘管還沒有確定造成這次襲擊的確切APT或黑客組織,但該行動的某些特徵表明它是華語威脅演員。
具有增強的隱身功能的Rootkit
Moriya Rootkit遵循高度專業化的威脅參與者的趨勢,即投入更多的精力和資源,使他們的威脅工具更加複雜,更適合其特定需求,並配備其他反檢測技術。 Rootkit通常更難以發現,因為它們將自己深埋在操作系統中,同時使威脅參與者幾乎完全控制了受感染的計算機。 Moriya Rootkit將自己放置在Windows內核的地址空間中,該地址是系統內存的一個區域,預計僅特權和受信任的代碼才能運行。一旦建立,惡意軟件威脅就可以使TunnelSnake操作員攔截並分析到受感染系統的傳入流量。
為了進一步掩蓋其存在,Moriya Rootkit不依賴與遠程命令與控制服務器的通信來接收命令。相反,威脅掃描將掃描定制的數據包,這些數據包將合併到受害人內部網絡的常規流量中。另一個跡象表明,Moriya Rootkit和TunnelSnake業務背後的運營商將重點放在逃避檢測並儘可能長時間地保持對選定目標的訪問上。
