Kinesisk APT kan være bag det nyopdagede Moriya Rootkit

Trickbot Streals Passwords From Browsers

Moriya Rootkit er en nyligt identificeret trussel, der dog måske har arbejdet i lang tid, før den endelig blev opdaget. Rootkits som denne er designet til at plante sig dybt ned i operativsystemets komponenter, give sig selv vedholdenhed og derefter forsøge at give angriberen kontrol over den kompromitterede enhed. Rootkits er typisk meget vanskelige at opdage og fjerne - denne opgave skal altid udføres med brug af et sofistikeret antivirusværktøj.

Især Moriya Rootkit menes at have været aktiv siden 2018. Det er designet til at spionere på det kompromitterede systems netværkstrafik samt at udføre fjernkommandoer, der angribes af angriberen. Det har funktioner, der er typiske for en bagdør Trojan.

Det er vigtigt at bemærke, at dette er en meget kompliceret malware-familie, der bruges mod omhyggeligt valgte mål. Indtil videre er kopier af Moriya Rootkit blevet opdaget på netværk, der tilhører flere asiatiske og afrikanske diplomatiske organisationer og enkeltpersoner. Moriya Rootkits infektion blev normalt efterfulgt af indsættelsen af andre malware-familier såsom China Chopper. Det fælles mellem de sekundære nyttelast er, at de alle tidligere blev brugt af kinesiske cyberkriminelle, så der er stor chance for, at Moriya Rootkit kan være et produkt af en højtuddannet kinesisk trusselsaktør.

Eksperter inden for cybersikkerhed samler stadig information om Moriya Rootkit og dets aktiviteter. Der er ingen indikator for infektionsvektoren, som de kriminelle kan have brugt til at levere og plante det ondsindede Moriya Rootkit. Det vi ved med sikkerhed er, at moderne firewall og antivirussoftware overhovedet kan forhindre sådanne angreb.

May 10, 2021