„Moriya Rootkit“ įsiskverbia į „Windows“ sistemas

Neseniai pastebėta grėsmė stabiliai veikia diegdama užpakalines duris „Windows“ sistemose, neseniai pranešė saugumo tyrėjai. „Rootkit“ yra pavadintas „Moriya“ ir juo naudojasi vis dar nežinomos kilmės nuolatinis grėsmės veikėjas. Tyrėjai mano, kad įsilaužėliai už Moriya yra kilę iš „kiniškai kalbančios“ demografijos.

Kad ir kokia būtų Moriya šalis, jie naudojo kenkėjišką programą maždaug nuo 2018 m., Tačiau buvo tokie geri, kad liko paslėpti, ji buvo atrasta tik dabar. Kampaniją, kurioje kenkėjiškos programos paskutinį kartą buvo naudojamos didelio masto atakose, tyrėjai vadina „Tunelio gyvate“.

„Moriya“ pirmiausia dirba įrengdama pasyvias užpakalines duris savo aukų sistemose. Paprastai tai yra viešai aptarnaujami serveriai. Įdiegus užpakalinę duris, „Moriya“ operatoriai naudoja savo komandų ir valdymo serverius, kad toliau dirbtų užkrėstose sistemose ir tinkluose.

Moriya buvo naudojama atakose prieš Afrikos ir Azijos institucijas. Kai kuriais atvejais, tyrinėtojai teigia, kad jis nebuvo naudojamas atskirai, tačiau turėjo papildomų kenksmingų įrankių rinkinį, kuris užpuolikams leido pasiekti visą tinklą.

Šis požiūris vadinamas „šoniniu judesiu“ ir reiškia vis didesnę prieigą prie įvairių tinklo šakų, dažniausiai ieškant slaptų ar vertingų duomenų.

„Moriya“ šakninis rinkinys taip pat leidžia jį valdantiems aktoriams stebėti įeinantį ir išeinantį srautą pažeistoje sistemoje. Kai duomenų sraute, kurį gauna mašina, aptinkami paketai, skirti kenkėjiškoms programoms, kenkėjiškos programos reaguoja.

Kaip paaiškino saugumo tyrinėtojai, tai leidžia labai slaptai veikti ir netgi įsilaužėliams leidžiama aukos sistemoje tiekti „shell“ komandas, tada perskaityti jų išvesties reikšmes.

Moriya ilgą laiką taip sėkmingai išvengė aptikimo, nes šis paketų patikrinimas pažeidžia „Windows“ tvarkyklę branduolio režimu. Tai iš tikrųjų reiškia, kad kenkėjiška programa sugebėjo apeiti saugos programinę įrangą, kurią sistema gali naudoti.

Nors ne visais atvejais, kai buvo rasta „Moriya“, nebuvo išplėsto kenkėjiškų įrankių rinkinio, „Moriya“ taip pat veikia kartu su daugybe kenkėjiškų programų, kurias naudoja ir yra susijusios su Kinijos įsilaužimo grupėmis.

Vienintelė gera naujiena šioje istorijoje yra ta, kad iki šiol Morija buvo naudojama palyginti nedaug atakų. Atrodo, kad visi šie išpuoliai taip pat buvo sutelkti labai siaurai, neturint jokios dabartinės informacijos apie aukas už Afrikos ir Azijos ribų ir iš viso mažiau nei dešimt aukų tose dviejose teritorijose.

May 7, 2021