Новый скрытый руткит Moriya используется для бэкдор-атак на системы Windows

Неизвестный злоумышленник использовал новый скрытый руткит для бэкдор-атак на системы Windows, что похоже на продолжающуюся шпионскую кампанию под названием TunnelSnake, начавшуюся как минимум с 2018 года.

Ранее неизвестное вредоносное ПО, получившее название Moriya от исследователей «Лаборатории Касперского», которые обнаружили его в результате анализа угроз, представляет собой пассивный бэкдор, который позволяет злоумышленникам тайно шпионить за сетевым трафиком своих жертв и отправлять команды на взломанные узлы.

Необычно уклончивый бэкдор для шпионажа

Мория позволила операторам TunnelSnake захватывать и анализировать входящий сетевой трафик «из адресного пространства ядра Windows, области памяти, в которой находится ядро операционной системы и где обычно выполняется только привилегированный и доверенный код».

Способ получения бэкдором команд в виде специально созданных пакетов, скрытых в сетевом трафике жертвы, без необходимости обращаться к серверу управления и контроля, дополнительно дополняет скрытность операции, демонстрируя сосредоточенность злоумышленника на уклонении от обнаружения.

«Мы видим все больше и больше скрытых кампаний, таких как TunnelSnake, где участники предпринимают дополнительные шаги, чтобы оставаться вне поля зрения как можно дольше, и вкладывают средства в свои наборы инструментов, делая их более специализированными, сложными и трудными для обнаружения», - сказал Марк Лехтик, старший исследователь безопасности в группе глобальных исследований и анализа Kaspersky.

Архитектура руткита Мория (Касперский)

По данным телеметрии «Лаборатории Касперского», вредоносная программа была развернута в сетях менее 10 объектов в ходе высокоточной атаки.

Злоумышленник использовал бэкдор-системы, принадлежащие азиатским и африканским дипломатическим учреждениям и другим высокопоставленным организациям, чтобы получить контроль над их сетями и сохранять постоянство в течение нескольких месяцев, не будучи обнаруженным.

Злоумышленники также развернули дополнительные инструменты (в том числе China Chopper, BOUNCER, Termite и Earthworm) на этапе постэксплуатации скомпрометированных систем (изготовленные на заказ и ранее использовавшиеся китайскоязычными участниками). Это позволило им перемещаться по сети после сканирования и обнаружения новых уязвимых хостов в сетях жертв.

Все свидетельства указывают на китайский след.

Хотя исследователи «Лаборатории Касперского» не смогли связать кампанию с конкретным злоумышленником, тактика, методы и процедуры (ДТС), использованные в атаках, и целевые объекты предполагают, что злоумышленники, скорее всего, говорят по-китайски.

«Мы также обнаружили более старую версию Moriya, использовавшуюся в автономной атаке в 2018 году, что указывает на то, что злоумышленник был активен как минимум с 2018 года», - добавил Джампаоло Дедола, старший исследователь безопасности в группе глобальных исследований и анализа Kaspersky.

«Профиль целей и задействованный набор инструментов позволяют предположить, что целью этой кампании является шпионаж, хотя мы можем лишь частично подтвердить это из-за отсутствия видимости каких-либо фактических перекачиваемых данных».

Более подробную техническую информацию о рутките Moriya и индикаторах компрометации, связанных с кампанией TunnelSnake, можно найти в отчете Касперского.

В октябре Касперский также обнаружил второй в мире руткит UEFI, используемый в дикой природе (известный как MosaicRegressor), при расследовании атак 2019 года на две неправительственные организации (НПО).

Предыдущий буткит UEFI, используемый в дикой природе, известен как LoJax и был обнаружен ESET в 2018 году, когда он был внедрен поддерживаемой Россией хакерской группой APT28 в рамках законного противоугонного программного обеспечения LoJack.

Источник: https://www.bleepingcomputer.com/ne...used-in-the-wild-to-backdoor-windows-systems/