Moriya Rootkit infiltrerar Windows-system

Ett nyligen upptäckt hot har arbetat stadigt med att installera bakdörrar på Windows-system, rapporterade säkerhetsforskare nyligen. Rotsatsen kallas Moriya och utnyttjas av en ihållande hotaktör av fortfarande okänt ursprung. Forskare tror att hackarna bakom Moriya kommer från en "kinesisktalande" demografi.

Vem som än är partiet bakom Moriya, de har använt skadlig programvara sedan omkring 2018, men har varit så bra att de förblir dolda att det har upptäckts just nu. Kampanjen där skadlig programvara senast användes i storskaliga attacker kallas "Tunnel Snake" av forskare.

Moriya arbetar främst genom att installera passiva bakdörrar på sina offresystem. De är vanligtvis offentliga servrar. När bakdörren har installerats använder Moriya operatörer sina kommando- och styrservrar för att arbeta vidare med de infekterade systemen och nätverken.

Moriya har använts i attacker mot afrikanska och asiatiska institutioner. I vissa fall, säger forskare, användes den inte ensam utan hade ett medföljande kit med ytterligare skadliga verktyg som gjorde det möjligt för angriparna att få tillgång till hela nätverket.

Detta tillvägagångssätt kallas "lateral rörelse" och innebär att man får mer och mer tillgång till olika grenar i ett nätverk, vanligtvis i en sökning för att exfiltrera känsliga eller värdefulla data.

Moriya rootkit tillåter också de aktörer som driver den att övervaka både inkommande och utgående trafik på ett kompromissat system. När paket som är avsedda för skadlig kod upptäcks i dataströmmen som maskinen tar emot, reagerar skadlig programvara.

Som förklarats av säkerhetsforskarna tillåter detta mycket smygande operation och tillåter till och med hackare att mata skalkommandon till offretsystemet och sedan läsa deras utmatningsvärden.

Moriya har varit så framgångsrik med att undvika upptäckt under lång tid eftersom denna paketinspektion missbrukar en Windows-drivrutin i kärnläge. Detta innebär effektivt att skadlig programvara lyckades kringgå säkerhetsprogramvara som systemet kan köra.

Även om inte alla fall där Moriya hittades inkluderade den utvidgade skadliga verktygssatsen, fungerar Moriya också tillsammans med en rad skadliga applikationer som används av och associerade med kinesiska hackgrupper.

Den enda goda nyheten i berättelsen är att Moriya har använts i relativt få attacker hittills. Alla dessa attacker verkar också ha varit mycket snävt fokuserade, utan aktuell information om offer utanför Afrika och Asien och totalt mindre än ett dussin offer i dessa två territorier.