Moriya Rootkit infiltra sistemas Windows

Uma ameaça recém-descoberta tem trabalhado continuamente na instalação de backdoors em sistemas Windows, relataram recentemente os pesquisadores de segurança. O rootkit é apelidado de Moriya e é explorado por um ator de ameaça persistente de origens ainda desconhecidas. Os pesquisadores acreditam que os hackers por trás do Moriya são de um grupo demográfico que fala chinês.

Quem quer que seja a parte por trás de Moriya, eles têm usado o malware desde cerca de 2018, mas têm sido tão bons em permanecer escondidos, que acabou de ser descoberto. A campanha na qual o malware foi usado pela última vez em ataques em grande escala é chamada de "Cobra de túnel" pelos pesquisadores.

O Moriya funciona principalmente instalando backdoors passivas nos sistemas das vítimas. Esses são geralmente servidores voltados para o público. Depois que o backdoor é instalado, os operadores do Moriya usam seus servidores de comando e controle para trabalhar ainda mais os sistemas e redes infectados.

Moriya tem sido usado em ataques contra instituições africanas e asiáticas. Em alguns casos, afirmam os pesquisadores, ele não era usado sozinho, mas tinha um kit de ferramentas adicionais maliciosas que permitia aos invasores obter acesso a toda a rede.

Essa abordagem é chamada de "movimento lateral" e implica obter cada vez mais acesso a vários ramos de uma rede, geralmente em uma busca para exfiltrar dados sensíveis ou valiosos.

O rootkit Moriya também permite que os atores que o operam monitorem o tráfego de entrada e saída em um sistema comprometido. Quando os pacotes designados para o malware são descobertos no fluxo de dados que a máquina está recebendo, o malware reage.

Conforme explicado pelos pesquisadores de segurança, isso permite uma operação muito furtiva e até mesmo permite que os hackers alimentem comandos de shell no sistema da vítima e, em seguida, leiam seus valores de saída.

Moriya tem tido muito sucesso em evitar a detecção por um longo tempo porque esta inspeção de pacotes abusa de um driver do Windows no modo kernel. Isso efetivamente significa que o malware conseguiu burlar o software de segurança que o sistema pode estar executando.

Embora nem todas as instâncias em que Moriya foi encontrado incluam o conjunto expandido de ferramentas maliciosas, Moriya também trabalha em conjunto com uma série de aplicativos maliciosos que são usados por e associados a grupos de hackers chineses.

A única boa notícia na história é que Moriya foi usado em relativamente poucos ataques até agora. Todos esses ataques parecem ter tido um foco muito restrito também, sem informações atualizadas das vítimas fora da África e da Ásia e um total de menos de uma dúzia de vítimas nesses dois territórios.