Moriya Rootkit渗透Windows系统
安全研究人员最近报道,一种新发现的威胁一直在Windows系统上安装后门程序方面一直在稳步进行。该rootkit被称为Moriya,并被来源仍不明的顽固威胁者所利用。研究人员认为,森屋背后的黑客来自“讲华语”人群。
无论Moriya背后的聚会是谁,他们都从2018年左右开始使用该恶意软件,但一直保持隐藏状态如此出色,它才刚刚被发现。研究人员将最后一次在大规模攻击中使用该恶意软件的活动称为“隧道蛇”。
Moriya的主要工作方式是在受害者系统上安装被动后门。这些通常是面向公众的服务器。安装后门后,Moriya的操作员将使用其命令和控制服务器来进一步工作受感染的系统和网络。
森谷已被用于攻击非洲和亚洲机构。研究人员指出,在某些情况下,它不是单独使用的,而是附带了一套附加的恶意工具套件,使攻击者可以访问整个网络。
这种方法称为“横向移动”,它意味着越来越多地访问网络的各个分支,通常是在搜索中窃取敏感或有价值的数据。
Moriya Rootkit还允许操作它的参与者监视受感染系统上的传入和传出流量。在机器正在接收的数据流中发现为恶意软件指定的数据包时,恶意软件会做出反应。
正如安全研究人员所解释的那样,这允许非常隐蔽的操作,甚至允许黑客将shell命令输入到受害系统中,然后读取其输出值。
长期以来,Moriya在逃避检测方面一直非常成功,因为此数据包检查滥用了内核模式下的Windows驱动程序。这实际上意味着恶意软件可以规避系统可能正在运行的安全软件。
虽然并非所有找到Moriya的实例都包括扩展的恶意工具集,但Moriya还可与由中国黑客组织使用并关联的一系列恶意应用程序协同工作。
故事中唯一的一个好消息是,迄今为止,森宫已被用于相对较少的攻击。所有这些攻击似乎也集中在狭窄的范围内,没有非洲和亚洲以外的受害者的最新信息,在这两个领土上总共只有不到十二名受害者。