Moriya Rootkit infiltruje systemy Windows

Nowo odkryte zagrożenie stale pracuje podczas instalowania backdoorów w systemach Windows, jak poinformowali niedawno badacze bezpieczeństwa. Rootkit nosi nazwę Moriya i jest wykorzystywany przez nieustępliwego agenta zagrożeń o wciąż nieznanym pochodzeniu. Naukowcy uważają, że hakerzy stojący za Moriyą pochodzą z „chińskojęzycznej” grupy demograficznej.

Kimkolwiek jest strona stojąca za Moriyą, używają złośliwego oprogramowania od około 2018 roku, ale byli tak dobrzy, jak pozostawanie w ukryciu, zostało to odkryte właśnie teraz. Kampania, w której złośliwe oprogramowanie było ostatnio wykorzystywane w atakach na dużą skalę, została nazwana przez naukowców „Tunnel Snake”.

Moriya działa głównie poprzez instalowanie pasywnych backdoorów w swoich systemach ofiar. Są to zazwyczaj serwery publiczne. Po zainstalowaniu backdoora operatorzy Moriyi używają swoich serwerów dowodzenia i kontroli do dalszej pracy z zainfekowanymi systemami i sieciami.

Moriya była używana w atakach na instytucje afrykańskie i azjatyckie. Badacze twierdzą, że w niektórych przypadkach nie był używany samodzielnie, ale miał dołączony zestaw dodatkowych złośliwych narzędzi, które umożliwiały atakującym uzyskanie dostępu do całej sieci.

Podejście to nazywa się „ruchem bocznym” i zakłada uzyskiwanie coraz szerszego dostępu do różnych gałęzi sieci, zwykle w celu wydobycia wrażliwych lub cennych danych.

Rootkit Moriya umożliwia również obsługującym go aktorom monitorowanie ruchu przychodzącego i wychodzącego w zaatakowanym systemie. Gdy w strumieniu danych odbieranym przez maszynę zostaną wykryte pakiety przeznaczone dla szkodliwego oprogramowania, szkodliwe oprogramowanie reaguje.

Jak wyjaśnili badacze bezpieczeństwa, pozwala to na bardzo ukradkowe działanie, a nawet pozwala hakerom przekazywać polecenia powłoki do systemu ofiary, a następnie odczytywać ich wartości wyjściowe.

Moriya od dawna jest tak skuteczna w unikaniu wykrycia, ponieważ ta inspekcja pakietów wykorzystuje sterownik Windows w trybie jądra. W praktyce oznacza to, że złośliwemu oprogramowaniu udało się obejść oprogramowanie zabezpieczające, które może działać w systemie.

Chociaż nie wszystkie przypadki, w których znaleziono Moriya, obejmowały rozszerzony zestaw złośliwych narzędzi, Moriya działa również w parze z szeregiem złośliwych aplikacji, które są używane przez chińskie grupy hakerskie i są z nimi powiązane.

Jedyną dobrą wiadomością w tej historii jest to, że jak dotąd Moriya została użyta w stosunkowo niewielu atakach. Wydaje się, że wszystkie te ataki były również bardzo wąsko ukierunkowane, bez aktualnych informacji o ofiarach spoza Afryki i Azji oraz o łącznej liczbie mniej niż tuzina ofiar na tych dwóch terytoriach.