Chiński APT może kryć się za nowo odkrytym rootkitem Moriya

Trickbot Streals Passwords From Browsers

Rootkit Moriya to nowo zidentyfikowane zagrożenie, które mogło jednak działać przez długi czas, zanim zostało ostatecznie odkryte. Rootkity, takie jak ten, są zaprojektowane tak, aby osadzać się głęboko w komponentach systemu operacyjnego, zapewniać sobie trwałość, a następnie próbować zapewnić atakującemu kontrolę nad zaatakowanym urządzeniem. Rootkity są zazwyczaj bardzo trudne do wykrycia i usunięcia - zadanie to zawsze powinno być wykonywane przy użyciu zaawansowanego narzędzia antywirusowego.

Uważa się, że w szczególności Rootkit Moriya jest aktywny od 2018 roku. Jego celem jest szpiegowanie ruchu sieciowego zaatakowanego systemu, a także wykonywanie zdalnych poleceń przechwyconych przez atakującego. Posiada cechy typowe dla trojana z tylnym wejściem.

Należy zauważyć, że jest to bardzo skomplikowana rodzina złośliwego oprogramowania, które jest wykorzystywane przeciwko starannie wybranym celom. Jak dotąd kopie Moriya Rootkit zostały odkryte w sieciach należących do wielu azjatyckich i afrykańskich organizacji dyplomatycznych i osób fizycznych. Po infekcji Moriya Rootkit zwykle następowało wdrażanie innych rodzin złośliwego oprogramowania, takich jak China Chopper. Wspólną rzeczą między dodatkowymi ładunkami jest to, że wszystkie były wcześniej używane przez chińskich cyberprzestępców, więc istnieje duże prawdopodobieństwo, że rootkit Moriya może być wytworem wysoce wykwalifikowanego chińskiego agenta.

Eksperci ds. Cyberbezpieczeństwa wciąż zbierają informacje o rootkicie Moriya i jego działalności. Nie ma żadnych wskazówek dotyczących wektora infekcji, który przestępcy mogli wykorzystać do dostarczenia i umieszczenia złośliwego oprogramowania typu rootkit Moriya. Wiemy na pewno, że nowoczesny firewall i oprogramowanie antywirusowe mogą w ogóle zapobiec takim atakom.

May 10, 2021