Moriya Rootkit infiltreert in Windows-systemen

Een nieuw ontdekte bedreiging werkt gestaag aan het installeren van achterdeurtjes op Windows-systemen, meldden beveiligingsonderzoekers onlangs. De rootkit heet Moriya en wordt uitgebuit door een aanhoudende dreigingsacteur van nog onbekende oorsprong. Onderzoekers geloven dat de hackers achter Moriya afkomstig zijn uit een "Chineessprekende" demografie.

Wie de partij achter Moriya ook is, ze gebruiken de malware sinds ongeveer 2018, maar zijn zo goed als verborgen blijven, zojuist is het ontdekt. De campagne waarin de malware voor het laatst werd gebruikt bij grootschalige aanvallen, wordt door onderzoekers "Tunnel Snake" genoemd.

Moriya werkt voornamelijk door passieve achterdeurtjes te installeren op zijn slachtoffer systemen. Dat zijn meestal openbare servers. Zodra de achterdeur is geïnstalleerd, gebruiken de operators van Moriya hun commando- en controleservers om de geïnfecteerde systemen en netwerken verder te laten werken.

Moriya is gebruikt bij aanvallen op Afrikaanse en Aziatische instellingen. In sommige gevallen, stellen onderzoekers, werd het niet alleen gebruikt, maar beschikte het over een bijbehorende kit met aanvullende kwaadaardige tools waarmee de aanvallers toegang konden krijgen tot het hele netwerk.

Deze benadering wordt "laterale beweging" genoemd en houdt in dat u steeds meer toegang krijgt tot verschillende takken van een netwerk, meestal in een zoektocht naar gevoelige of waardevolle gegevens.

De Moriya-rootkit stelt de actoren die het gebruiken ook in staat om zowel inkomend als uitgaand verkeer op een gecompromitteerd systeem te volgen. Wanneer pakketten die zijn aangewezen voor de malware worden ontdekt in de datastroom die de machine ontvangt, reageert de malware.

Zoals uitgelegd door de beveiligingsonderzoekers, maakt dit een zeer heimelijke operatie mogelijk en kunnen hackers zelfs shell-commando's in het slachtoffersysteem invoeren en vervolgens hun uitvoerwaarden lezen.

Moriya is zo succesvol geweest in het omzeilen van detectie gedurende een lange tijd omdat deze pakketinspectie misbruik maakt van een Windows-stuurprogramma in kernelmodus. Dit betekent in feite dat de malware erin slaagde beveiligingssoftware te omzeilen die door het systeem zou kunnen worden uitgevoerd.

Hoewel niet alle gevallen waarin Moriya werd aangetroffen, de uitgebreide set kwaadaardige tools bevatten, werkt Moriya ook samen met een reeks kwaadaardige applicaties die worden gebruikt door en geassocieerd met Chinese hackersgroepen.

Het enige goede nieuws in het verhaal is dat Moriya tot nu toe bij relatief weinig aanvallen is gebruikt. Al die aanvallen lijken ook zeer eng gericht te zijn geweest, zonder actuele informatie over slachtoffers buiten Afrika en Azië en in totaal minder dan een dozijn slachtoffers in die twee gebieden.