Moriya Rootkit infiltrerer Windows-systemer

En nylig oppdaget trussel har arbeidet jevnlig med å installere bakdører på Windows-systemer, rapporterte sikkerhetsforskere nylig. Rotsettet kalles Moriya og utnyttes av en vedvarende trusselsaktør av fortsatt ukjent opprinnelse. Forskere mener hackerne bak Moriya er fra en "kinesisk-talende" demografi.

Uansett hvem partiet bak Moriya måtte være, de har brukt skadelig programvare siden rundt 2018, men har vært så gode som å holde seg skjult, det har blitt oppdaget akkurat nå. Kampanjen der skadelig programvare sist ble brukt i store angrep, kalles "Tunnel Snake" av forskere.

Moriya fungerer først og fremst ved å installere passive bakdører på sine offersystemer. Disse er vanligvis offentlige servere. Når bakdøren er installert, bruker operatørene av Moriya kommando- og kontrollserverne sine for å arbeide videre med de infiserte systemene og nettverkene.

Moriya har blitt brukt i angrep mot afrikanske og asiatiske institusjoner. I noen tilfeller, sier forskere, ble den ikke brukt alene, men hadde et tilhørende sett med ekstra ondsinnede verktøy som tillot angriperne å få tilgang til hele nettverket.

Denne tilnærmingen kalles "lateral bevegelse" og innebærer å få stadig mer tilgang til forskjellige grener av et nettverk, vanligvis i et søk for å exfiltrere sensitive eller verdifulle data.

Moriya rootkit tillater også skuespillerne som driver den å overvåke både innkommende og utgående trafikk på et kompromittert system. Når pakker som er bestemt for skadelig programvare, blir oppdaget i datastrømmen som maskinen mottar, reagerer skadelig programvare.

Som forklart av sikkerhetsforskerne, tillater dette veldig skjult drift, og til og med gjør det mulig for hackere å mate skallkommandoer inn i offersystemet, og deretter lese utdataverdiene.

Moriya har vært så vellykket med å unngå deteksjon i lang tid fordi denne pakkeinspeksjonen misbruker en Windows-driver i kjernemodus. Dette betyr effektivt at skadelig programvare klarte å omgå sikkerhetsprogramvare som systemet kan kjøre.

Selv om ikke alle tilfeller der Moriya ble funnet, inkluderte det utvidede ondsinnede verktøysettet, fungerer Moriya også sammen med en rekke ondsinnede applikasjoner som brukes av og assosieres med kinesiske hackingsgrupper.

Den eneste gode nyheten i historien er at Moriya har blitt brukt i relativt få angrep så langt. Alle disse angrepene ser ut til å ha vært veldig snevre fokuserte, uten aktuell informasjon om ofre utenfor Afrika og Asia og totalt under et dusin ofre i disse to områdene.