Руткит Moriya проникает в системы Windows

Недавно исследователи безопасности сообщили, что недавно обнаруженная угроза неуклонно работает над установкой бэкдоров в системах Windows. Руткит получил название Moriya и используется постоянными злоумышленниками неизвестного происхождения. Исследователи полагают, что хакеры, стоящие за Морией, принадлежат к "китайскоязычной" демографии.

Кто бы ни был сторонником Мории, они использовали вредоносное ПО примерно с 2018 года, но были настолько хороши, что оставались скрытыми, оно было обнаружено только сейчас. Кампания, в которой вредоносное ПО в последний раз использовалось в крупномасштабных атаках, исследователи называют «Туннельная змея».

Moriya работает в основном путем установки пассивных бэкдоров на свои системы-жертвы. Обычно это общедоступные серверы. После установки бэкдора операторы Moriya используют свои серверы управления и контроля для дальнейшей работы с зараженными системами и сетями.

Мория использовалась в нападениях на африканские и азиатские учреждения. В некоторых случаях, как утверждают исследователи, он не использовался сам по себе, но имел сопутствующий набор дополнительных вредоносных инструментов, которые позволяли злоумышленникам получить доступ ко всей сети.

Этот подход называется «боковым перемещением» и подразумевает получение все большего доступа к различным ветвям сети, обычно в поисках утечки конфиденциальных или ценных данных.

Руткит Moriya также позволяет участникам, которые его используют, отслеживать как входящий, так и исходящий трафик в скомпрометированной системе. Когда пакеты, предназначенные для вредоносного ПО, обнаруживаются в потоке данных, который получает машина, вредоносное ПО реагирует.

Как объяснили исследователи безопасности, это позволяет выполнять очень скрытную работу и даже позволяет хакерам вводить команды оболочки в систему жертвы, а затем считывать их выходные значения.

Мория долгое время успешно избегала обнаружения, потому что эта проверка пакетов злоупотребляет драйвером Windows в режиме ядра. Это фактически означает, что вредоносному ПО удалось обойти программное обеспечение безопасности, которое могло быть запущено в системе.

Хотя не все случаи, когда была обнаружена Мория, включали расширенный набор вредоносных инструментов, Мория также работает в тандеме с множеством вредоносных приложений, которые используются китайскими хакерскими группами и связаны с ними.

Единственная хорошая новость в этой истории заключается в том, что до сих пор Мория использовалась в относительно небольшом количестве атак. Все эти атаки, похоже, также были очень узконаправленными, и на данный момент нет информации о жертвах за пределами Африки и Азии, и в общей сложности на этих двух территориях погибло менее десятка.