Moriya Rootkit se infiltra en los sistemas Windows
Una amenaza recién descubierta ha estado trabajando de manera constante en la instalación de puertas traseras en los sistemas Windows, informaron recientemente investigadores de seguridad. El rootkit se llama Moriya y es explotado por un actor de amenazas persistentes de orígenes aún desconocidos. Los investigadores creen que los piratas informáticos detrás de Moriya pertenecen a un grupo demográfico de "habla china".
Quienquiera que sea la parte detrás de Moriya, han estado usando el malware desde aproximadamente 2018, pero han sido tan buenos como para permanecer ocultos, se ha descubierto hace un momento. Los investigadores denominan "Tunnel Snake" a la campaña en la que se utilizó por última vez el malware en ataques a gran escala.
Moriya trabaja principalmente instalando puertas traseras pasivas en sus sistemas víctimas. Suelen ser servidores públicos. Una vez que se ha instalado la puerta trasera, los operadores de Moriya utilizan sus servidores de comando y control para seguir trabajando en los sistemas y redes infectados.
Moriya se ha utilizado en ataques contra instituciones africanas y asiáticas. En algunos casos, afirman los investigadores, no se usó solo, sino que tenía un kit de herramientas maliciosas adicionales que permitían a los atacantes obtener acceso a toda la red.
Este enfoque se denomina "movimiento lateral" e implica obtener cada vez más acceso a varias ramas de una red, generalmente en una búsqueda para exfiltrar datos sensibles o valiosos.
El rootkit Moriya también permite a los actores que lo operan monitorear el tráfico entrante y saliente en un sistema comprometido. Cuando se descubren paquetes designados para el malware en el flujo de datos que recibe la máquina, el malware reacciona.
Como explicaron los investigadores de seguridad, esto permite una operación muy sigilosa e incluso permite a los piratas informáticos introducir comandos de shell en el sistema de la víctima y luego leer sus valores de salida.
Moriya ha tenido tanto éxito en eludir la detección durante mucho tiempo porque esta inspección de paquetes abusa de un controlador de Windows en modo kernel. Esto significa efectivamente que el malware logró eludir el software de seguridad que el sistema podría estar ejecutando.
Si bien no todos los casos en los que se encontró Moriya incluían el conjunto de herramientas maliciosas ampliado, Moriya también trabaja en conjunto con una variedad de aplicaciones maliciosas que son utilizadas y asociadas con grupos de piratería chinos.
La única buena noticia en la historia es que Moriya se ha utilizado en relativamente pocos ataques hasta ahora. Todos esos ataques también parecen haber tenido un enfoque muy limitado, sin información actualizada de víctimas fuera de África y Asia y un total de menos de una docena de víctimas en esos dos territorios.
