Moriya Rootkit滲透Windows系統

安全研究人員最近報導，一種新發現的威脅一直在Windows系統上安裝後門程序方面一直在穩步進行。該rootkit被稱為Moriya，並被來源仍不明的頑固威脅者所利用。研究人員認為，森屋背後的黑客來自“講華語”人群。

無論Moriya背後的聚會是誰，他們都從2018年左右開始使用該惡意軟件，但是一直保持隱藏狀態如此出色，它是在最近才被發現的。研究人員將最後一次在大規模攻擊中使用該惡意軟件的活動稱為“隧道蛇”。

Moriya的主要工作方式是在受害者係統上安裝被動後門。這些通常是面向公眾的服務器。安裝後門後，Moriya的操作員將使用其命令和控制服務器來進一步工作受感染的系統和網絡。

森谷已被用於攻擊非洲和亞洲機構。研究人員指出，在某些情況下，它不是單獨使用的，而是附帶了一套附加的惡意工具套件，使攻擊者可以訪問整個網絡。

這種方法稱為“橫向移動”，它意味著越來越多地訪問網絡的各個分支，通常是在搜索中竊取敏感或有價值的數據。

Moriya Rootkit還允許操作它的參與者監視受感染系統上的傳入和傳出流量。在機器正在接收的數據流中發現為惡意軟件指定的數據包時，惡意軟件會做出反應。

正如安全研究人員所解釋的那樣，這允許非常隱蔽的操作，甚至允許黑客將shell命令輸入到受害系統中，然後讀取其輸出值。

長期以來，Moriya在逃避檢測方面一直非常成功，因為此數據包檢查濫用了內核模式下的Windows驅動程序。這實際上意味著惡意軟件可以規避系統可能正在運行的安全軟件。

雖然並非所有找到Moriya的實例都包括擴展的惡意工具集，但Moriya還可與由中國黑客組織使用並與之相關的一系列惡意應用程序協同工作。

故事中唯一的一個好消息是，迄今為止，森宮已被用於相對較少的攻擊。所有這些攻擊似乎也只集中在狹窄的範圍內，沒有非洲和亞洲以外的受害者的最新情報，在這兩個領土上總共只有不到十二名受害者。