L'APT chinois peut être derrière le rootkit Moriya nouvellement découvert

Le Moriya Rootkit est une menace nouvellement identifiée qui, cependant, aurait pu fonctionner pendant longtemps avant d'être finalement découverte. Les rootkits comme celui-ci sont conçus pour s'implanter profondément dans les composants du système d'exploitation, s'accorder la persistance, puis essayer de donner à l'attaquant le contrôle du périphérique compromis. Les rootkits sont généralement très difficiles à détecter et à supprimer - cette tâche doit toujours être complétée par l'utilisation d'un outil antivirus sophistiqué.

Le Moriya Rootkit, en particulier, serait actif depuis 2018. Il est conçu pour espionner le trafic réseau du système compromis, ainsi que pour exécuter des commandes à distance utilisées par l'attaquant. Il possède des fonctionnalités typiques d'un cheval de Troie de porte dérobée.

Il est important de noter qu'il s'agit d'une famille de logiciels malveillants très compliquée, qui est utilisée contre des cibles soigneusement sélectionnées. Jusqu'à présent, des copies du Moriya Rootkit ont été découvertes sur des réseaux appartenant à plusieurs organisations diplomatiques et individus asiatiques et africains. L'infection de Moriya Rootkit était généralement suivie du déploiement d'autres familles de logiciels malveillants telles que China Chopper. Le point commun entre les charges utiles secondaires est qu'elles étaient toutes précédemment utilisées par des cybercriminels chinois, il y a donc de fortes chances que le Moriya Rootkit soit le produit d'un acteur chinois hautement qualifié.

Les experts en cybersécurité collectent toujours des informations sur le Moriya Rootkit et ses activités. Il n'y a aucun indicateur sur le vecteur d'infection que les criminels ont pu utiliser pour livrer et planter le Moriya Rootkit malveillant. Ce que nous savons avec certitude, c'est que les logiciels de pare-feu et antivirus modernes peuvent empêcher de telles attaques de se produire.