Moriya Rootkit si infiltra nei sistemi Windows

Una minaccia scoperta di recente ha lavorato costantemente all'installazione di backdoor sui sistemi Windows, hanno riferito di recente i ricercatori di sicurezza. Il rootkit è soprannominato Moriya ed è sfruttato da un persistente attore di minacce di origini ancora sconosciute. I ricercatori ritengono che gli hacker dietro Moriya provengano da un gruppo demografico "di lingua cinese".

Qualunque sia la parte dietro Moriya, usano il malware dal 2018 circa, ma sono stati così bravi da rimanere nascosti, è stato scoperto solo ora. La campagna in cui il malware è stato utilizzato l'ultima volta in attacchi su larga scala è stata chiamata "Tunnel Snake" dai ricercatori.

Moriya funziona principalmente installando backdoor passive sui suoi sistemi vittima. Di solito sono server rivolti al pubblico. Una volta installata la backdoor, gli operatori di Moriya utilizzano i loro server di comando e controllo per lavorare ulteriormente i sistemi e le reti infetti.

Moriya è stata usata in attacchi contro istituzioni africane e asiatiche. In alcuni casi, affermano i ricercatori, non veniva utilizzato da solo, ma aveva un kit di accompagnamento di strumenti dannosi aggiuntivi che consentivano agli aggressori di accedere all'intera rete.

Questo approccio è chiamato "movimento laterale" e implica un accesso sempre maggiore a vari rami di una rete, di solito nella ricerca di esfiltrazione di dati sensibili o preziosi.

Il rootkit Moriya consente inoltre agli attori che lo gestiscono di monitorare il traffico in entrata e in uscita su un sistema compromesso. Quando i pacchetti designati per il malware vengono rilevati nel flusso di dati che la macchina sta ricevendo, il malware reagisce.

Come spiegato dai ricercatori sulla sicurezza, ciò consente operazioni molto furtive e consente persino agli hacker di inserire i comandi della shell nel sistema della vittima, quindi di leggere i loro valori di output.

Moriya ha avuto così tanto successo nell'eludere il rilevamento per molto tempo perché questa ispezione dei pacchetti abusa di un driver Windows in modalità kernel. Ciò significa effettivamente che il malware è riuscito a aggirare il software di sicurezza che il sistema potrebbe essere in esecuzione.

Sebbene non tutti i casi in cui è stata trovata Moriya includessero il set di strumenti dannosi ampliato, Moriya funziona anche in tandem con una serie di applicazioni dannose utilizzate e associate a gruppi di hacker cinesi.

L'unica buona notizia nella storia è che Moriya è stata usata in relativamente pochi attacchi finora. Anche tutti questi attacchi sembrano essere stati focalizzati in modo molto ristretto, senza informazioni aggiornate sulle vittime al di fuori dell'Africa e dell'Asia e un totale di meno di una dozzina di vittime in quei due territori.

May 7, 2021