Moriya Rootkit infiltrerer Windows-systemer

En nyopdaget trussel har arbejdet støt med at installere bagdøre på Windows-systemer, rapporterede sikkerhedsforskere for nylig. Rootsættet kaldes Moriya og udnyttes af en vedvarende trusselsaktør af stadig ukendt oprindelse. Forskere mener, at hackerne bag Moriya stammer fra en "kinesisk-talende" demografi.

Uanset hvem partiet bag Moriya måtte være, har de brugt malware siden omkring 2018, men har været så gode som at forblive skjulte, det er blevet opdaget lige nu. Kampagnen, hvor malware sidst blev brugt i store angreb, kaldes "Tunnel Snake" af forskere.

Moriya arbejder primært ved at installere passive bagdøre på sine offersystemer. Disse er normalt servere, der står over for offentligheden. Når bagdøren er installeret, bruger operatørerne af Moriya deres kommando- og kontrolservere til at arbejde videre med de inficerede systemer og netværk.

Moriya er blevet brugt i angreb på afrikanske og asiatiske institutioner. I nogle tilfælde siger forskere, at det ikke blev brugt alene, men havde et ledsagende sæt yderligere ondsindede værktøjer, der gjorde det muligt for angriberne at få adgang til hele netværket.

Denne tilgang kaldes "lateral bevægelse" og indebærer at få stadig mere adgang til forskellige grene af et netværk, normalt i en søgning efter at exfiltrere følsomme eller værdifulde data.

Moriya rootkit tillader også de aktører, der driver det, at overvåge både indgående og udgående trafik på et kompromitteret system. Når pakker, der er bestemt til malware, opdages i datastrømmen, som maskinen modtager, reagerer malware.

Som forklaret af sikkerhedsforskerne giver dette mulighed for meget snigende drift og giver endda hackere mulighed for at føre shell-kommandoer ind i offersystemet og derefter læse deres outputværdier.

Moriya har haft så stor succes med at unddrage sig opdagelse i lang tid, fordi denne pakkeinspektion misbruger en Windows-driver i kernetilstand. Dette betyder effektivt, at den malware, der er i stand til at omgå sikkerhedssoftware, som systemet muligvis kører.

Selvom ikke alle tilfælde, hvor Moriya blev fundet, omfattede det udvidede ondsindede værktøjssæt, fungerer Moriya også sammen med en række ondsindede applikationer, der bruges af og associeres med kinesiske hackinggrupper.

Det eneste gode gode i historien er, at Moriya er blevet brugt i relativt få angreb hidtil. Alle disse angreb ser ud til også at have været meget snævert fokuseret uden aktuelle oplysninger om ofre uden for Afrika og Asien og i alt mindre end et dusin ofre i disse to territorier.

May 7, 2021
Uncategorized