Chinese APT staat mogelijk achter de nieuw ontdekte Moriya Rootkit

De Moriya Rootkit is een nieuw geïdentificeerde bedreiging die echter misschien al lang werkte voordat hij eindelijk werd ontdekt. Rootkits zoals deze zijn ontworpen om zichzelf diep in de componenten van het besturingssysteem te planten, zichzelf doorzettingsvermogen te verlenen en vervolgens proberen de aanvaller controle te geven over het gecompromitteerde apparaat. Rootkits zijn doorgaans erg moeilijk te detecteren en te verwijderen - deze taak moet altijd worden voltooid met behulp van een geavanceerde antivirus-tool.

Vooral de Moriya Rootkit wordt verondersteld actief te zijn sinds 2018. Het is ontworpen om het netwerkverkeer van het gecompromitteerde systeem te bespioneren, en om op afstand commando's uit te voeren die door de aanvaller worden gebruikt. Het beschikt over kenmerken die typisch zijn voor een Trojaans paard op de achterdeur.

Het is belangrijk op te merken dat dit een zeer gecompliceerde malwarefamilie is, die wordt gebruikt tegen zorgvuldig geselecteerde doelen. Tot dusver zijn er kopieën van de Moriya Rootkit ontdekt op netwerken van meerdere Aziatische en Afrikaanse diplomatieke organisaties en individuen. De infectie van Moriya Rootkit werd meestal gevolgd door de inzet van andere malwarefamilies, zoals China Chopper. Wat de secundaire payloads gemeen hebben, is dat ze allemaal eerder werden gebruikt door Chinese cybercriminelen, dus de kans is groot dat de Moriya Rootkit het product is van een zeer bekwame Chinese dreigingsacteur.

Cyberbeveiligingsexperts verzamelen nog steeds informatie over de Moriya Rootkit en zijn activiteiten. Er is geen indicator over de infectievector die de criminelen mogelijk hebben gebruikt om de kwaadaardige Moriya Rootkit af te leveren en te planten. Wat we zeker weten, is dat moderne firewall- en antivirussoftware dergelijke aanvallen überhaupt kunnen voorkomen.