Nuevo rootkit de Moriya utilizado en la naturaleza para puertas traseras de sistemas Windows

Un actor de amenazas desconocido usó un nuevo rootkit sigiloso para hacer una puerta trasera en los sistemas Windows dirigidos a lo que parece ser una campaña de espionaje en curso. TúnelSerpiente que se remonta al menos a 2018.

Los rootkits son herramientas maliciosas diseñadas para evadir la detección enterrándose profundamente en el sistema operativo y utilizadas por los atacantes para tomar el control total de los sistemas infectados evitando la detección.

Malware previamente desconocido, apodado Moriya por investigadores de Kaspersky que lo descubrió en la naturaleza, es una puerta trasera pasiva que permite a los atacantes espiar en secreto el tráfico de red de sus víctimas y enviar comandos a los hosts comprometidos.

Espionaje inusualmente evasivo por la puerta trasera

Moriya permitió a los operadores de TunnelSnake capturar y analizar el tráfico de red entrante "desde el espacio de direcciones del kernel de Windows, una región de la memoria donde reside el kernel del sistema operativo y donde solo se ejecuta normalmente el código privilegiado y confiable".

La forma en que la puerta trasera recibió comandos en forma de paquetes personalizados ocultos en el tráfico de la red de las víctimas, sin la necesidad de ponerse en contacto con un servidor de comando y control, se sumó al sigilo de la operación que muestra la atención de la víctima. evadir la detección.

"Vemos más y más campañas encubiertas como TunnelSnake, donde los actores toman medidas adicionales para permanecer fuera del radar el mayor tiempo posible e invertir en sus conjuntos de herramientas, haciéndolos más personalizados, complejos y más difíciles de detectar", Mark Lechtik, un senior de seguridad investigador del equipo global de análisis e investigación de Kaspersky, Ella dijo.

Según la telemetría de Kaspersky, el malware se implementó en redes de menos de 10 entidades en ataques altamente dirigidos.

El actor de la amenaza utilizó sistemas de puerta trasera pertenecientes a entidades diplomáticas asiáticas y africanas y otras organizaciones de alto perfil para hacerse con el control de sus redes y mantener la persistencia durante meses sin ser detectado.

Los atacantes también implementaron herramientas adicionales (incluidos China Chopper, BOUNCER, Termite y Earthworm) durante la fase posterior a la explotación en los sistemas comprometidos (hechos a medida y utilizados previamente por actores de habla china).

Esto les permitió moverse lateralmente en la red después de escanear y encontrar nuevos hosts vulnerables en las redes de las víctimas.

Toda la evidencia apunta a actores de amenazas de habla china

Aunque los investigadores de Kaspersky no pudieron atribuir la campaña a un actor de amenaza específico, las tácticas, técnicas y procedimientos (TTP) utilizados en los ataques y las entidades objetivo sugieren que los atacantes probablemente hablan chino.

"También encontramos una versión anterior de Moriya utilizada en un ataque independiente en 2018, lo que indica que el actor ha estado activo desde al menos 2018", dijo Giampaolo Dedola, investigador senior de seguridad del Equipo de Análisis e Investigación Global de Kaspersky. adicional.

"El perfil de los objetivos y el conjunto de herramientas empleadas apuntan a que el objetivo del actor en esta campaña es el espionaje, aunque solo podemos dar fe de ello parcialmente con la falta de visibilidad de los datos realmente robados".

Se pueden encontrar más detalles técnicos sobre el rootkit Moriya y los indicadores de compromiso asociados con la campaña TunnelSnake en El informe de Kaspersky.

En octubre, Kaspersky también encontró el segundo rootkit UEFI utilizado en la naturaleza (conocido como MosaicRegressor) mientras investigaba los ataques de 2019 contra dos organizaciones no gubernamentales (ONG).

El anterior kit de arranque UEFI de uso natural se conoce como LoJax y fue descubierto por ESET en 2018 mientras el grupo de piratas informáticos APT28 respaldado por Rusia lo inyectaba en el software antirrobo legítimo LoJack.