MoriyaRootkitがWindowsシステムに侵入

新たに発見された脅威は、Windowsシステムへのバックドアのインストールに着実に取り組んでいると、セキュリティ研究者は最近報告しました。ルートキットはMoriyaと呼ばれ、出所が不明な永続的な脅威アクターによって悪用されます。研究者たちは、森谷の背後にいるハッカーは「中国語を話す」人口統計から来ていると信じています。

守谷の背後にいる当事者が誰であろうと、彼らは2018年頃からマルウェアを使用していますが、隠されたままでいるほど優れていて、ちょうど今発見されました。マルウェアが最後に大規模な攻撃で使用されたキャンペーンは、研究者によって「トンネルスネーク」と呼ばれています。

Moriyaは、主に被害者のシステムにパッシブバックドアをインストールすることで機能します。これらは通常、公開サーバーです。バックドアがインストールされると、Moriyaのオペレーターは、コマンドアンドコントロールサーバーを使用して、感染したシステムとネットワークをさらに機能させます。

守谷は、アフリカやアジアの機関に対する攻撃に使用されてきました。場合によっては、研究者は、それ自体では使用されなかったが、攻撃者がネットワーク全体にアクセスできるようにする追加の悪意のあるツールのキットが付属していると述べています。

このアプローチは「横方向の動き」と呼ばれ、通常は機密データや貴重なデータを盗み出すために、ネットワークのさまざまなブランチへのアクセスをますます増やすことを意味します。

Moriyaルートキットを使用すると、ルートキットを操作するアクターは、侵害されたシステムの着信トラフィックと発信トラフィックの両方を監視できます。マルウェアに指定されたパケットが、マシンが受信しているデータストリームで検出されると、マルウェアが反応します。

セキュリティ研究者が説明しているように、これにより非常にステルスな操作が可能になり、ハッカーがシェルコマンドを被害者のシステムに送り込んで出力値を読み取ることさえ可能になります。

このパケット検査はカーネルモードでWindowsドライバーを悪用するため、Moriyaは長い間検出を回避することに成功しています。これは事実上、マルウェアがシステムが実行している可能性のあるセキュリティソフトウェアを回避することに成功したことを意味します。

Moriyaが見つかったすべてのインスタンスに拡張された悪意のあるツールセットが含まれているわけではありませんが、Moriyaは、中国のハッキンググループによって使用および関連付けられている一連の悪意のあるアプリケーションとも連携して動作します。

物語の唯一の良いニュースは、森谷がこれまでのところ比較的少数の攻撃で使用されているということです。これらの攻撃はすべて非常に限定的に焦点が当てられているようであり、アフリカとアジア以外の被害者に関する現在の情報はなく、これら2つの地域の被害者は合計で12人未満です。

May 7, 2021