Nouveau rootkit Moriya utilisé dans la nature pour les portes dérobées du système Windows

  • Principal
  • Nouvelles
  • Nouveau rootkit Moriya utilisé dans la nature pour les portes dérobées du système Windows

Un acteur malveillant inconnu a utilisé un nouveau rootkit furtif pour déjouer les systèmes Windows ciblant ce qui semble être une campagne d'espionnage en cours. Tunnel du serpent datant d'au moins 2018.

Les rootkits sont des outils malveillants conçus pour échapper à la détection en s'enfouissant profondément dans le système d'exploitation et utilisés par les attaquants pour prendre le contrôle total des systèmes infectés tout en évitant la détection.

Logiciels malveillants jusque-là inconnus, surnommé Moriya par les chercheurs de Kaspersky découvert dans la nature, il s'agit d'une porte dérobée passive qui permet aux attaquants d'espionner secrètement le trafic réseau de leurs victimes et d'envoyer des commandes aux hôtes compromis.

Espionnage de porte dérobée inhabituellement évasif

Moriya a permis aux opérateurs de TunnelSnake de capturer et d'analyser le trafic réseau entrant 'à partir de l'espace d'adressage du noyau Windows, une région de la mémoire où réside le noyau du système d'exploitation et où seul le code privilégié et de confiance est normalement exécuté'.

La façon dont la porte dérobée recevait des commandes sous la forme de paquets personnalisés cachés dans le trafic réseau des victimes, sans qu'il soit nécessaire de contacter un serveur de commande et de contrôle, s'ajoutait au secret de l'opération montré par le soin des victimes. échapper à la détection.

'Nous voyons de plus en plus de campagnes secrètes comme TunnelSnake, où les acteurs prennent des mesures supplémentaires pour rester sous le radar aussi longtemps que possible et investissent dans leurs boîtes à outils, les rendant plus personnalisées, complexes et plus difficiles à détecter', Mark Lechtik, chercheur senior en sécurité de l'équipe mondiale d'analyse et de recherche de Kaspersky, Dit-elle .

Architecture du rootkit Moriya

Architecture du rootkit Moriya ( Kaspersky )

Selon la télémétrie de Kaspersky, le logiciel malveillant a été déployé sur des réseaux de moins de 10 entités lors d'attaques très ciblées.

L'acteur de la menace a utilisé des systèmes de porte dérobée appartenant à des entités diplomatiques asiatiques et africaines et à d'autres organisations de premier plan pour prendre le contrôle de leurs réseaux et persister pendant des mois sans être détectés.

Les attaquants ont également déployé des outils supplémentaires (dont China Chopper, BOUNCER, Termite et Earthworm) pendant la phase de post-exploitation sur les systèmes compromis (faits sur mesure et précédemment utilisés par des acteurs de langue chinoise).

Cela leur a permis de se déplacer latéralement dans le réseau après avoir scanné et trouvé de nouveaux hôtes vulnérables dans les réseaux victimes.

Toutes les preuves indiquent des acteurs de la menace de langue chinoise

Bien que les chercheurs de Kaspersky n'aient pas été en mesure d'attribuer la campagne à un acteur menaçant spécifique, les tactiques, techniques et procédures (TTP) utilisées dans les attaques et les entités ciblées suggèrent que les attaquants parlent probablement chinois.

'Nous avons également trouvé une version antérieure de Moriya utilisée dans une attaque distincte en 2018, indiquant que l'acteur est actif depuis au moins 2018', a déclaré Giampaolo Dedola, chercheur principal en sécurité au sein de l'équipe mondiale de recherche et d'analyse de Kaspersky. Additionnel .

'Le profil des cibles et l'ensemble des outils utilisés suggèrent que l'objectif de l'acteur dans cette campagne est l'espionnage, même si nous ne pouvons que partiellement l'attester avec le manque de visibilité des données effectivement volées.'

Vous trouverez plus de détails techniques sur le rootkit Moriya et les indicateurs de compromission associés à la campagne TunnelSnake sur Le rapport Kaspersky .

En octobre, Kaspersky a également découvert le deuxième rootkit UEFI utilisé dans la nature (connu sous le nom de MosaicRegressor) alors qu'il enquêtait sur des attaques de 2019 contre deux organisations non gouvernementales (ONG).

Le premier kit de démarrage UEFI naturellement utilisé est connu sous le nom de LoJax et a été découvert par ESET en 2018 alors qu'il était injecté dans le logiciel antivol LoJack légitime par le groupe de piratage soutenu par la Russie APT28.

Qu'est-ce que tu penses?