Новый скрытый руткит Moriya используется для бэкдор-атак на системы Windows

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 6 May 2021.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    314
    Likes Received:
    1,115
    Reputations:
    17
    Неизвестный злоумышленник использовал новый скрытый руткит для бэкдор-атак на системы Windows, что похоже на продолжающуюся шпионскую кампанию под названием TunnelSnake, начавшуюся как минимум с 2018 года.

    Ранее неизвестное вредоносное ПО, получившее название Moriya от исследователей «Лаборатории Касперского», которые обнаружили его в результате анализа угроз, представляет собой пассивный бэкдор, который позволяет злоумышленникам тайно шпионить за сетевым трафиком своих жертв и отправлять команды на взломанные узлы.

    Необычно уклончивый бэкдор для шпионажа

    Мория позволила операторам TunnelSnake захватывать и анализировать входящий сетевой трафик «из адресного пространства ядра Windows, области памяти, в которой находится ядро операционной системы и где обычно выполняется только привилегированный и доверенный код».

    Способ получения бэкдором команд в виде специально созданных пакетов, скрытых в сетевом трафике жертвы, без необходимости обращаться к серверу управления и контроля, дополнительно дополняет скрытность операции, демонстрируя сосредоточенность злоумышленника на уклонении от обнаружения.

    «Мы видим все больше и больше скрытых кампаний, таких как TunnelSnake, где участники предпринимают дополнительные шаги, чтобы оставаться вне поля зрения как можно дольше, и вкладывают средства в свои наборы инструментов, делая их более специализированными, сложными и трудными для обнаружения», - сказал Марк Лехтик, старший исследователь безопасности в группе глобальных исследований и анализа Kaspersky.
    [​IMG]
    Архитектура руткита Мория (Касперский)

    По данным телеметрии «Лаборатории Касперского», вредоносная программа была развернута в сетях менее 10 объектов в ходе высокоточной атаки.

    Злоумышленник использовал бэкдор-системы, принадлежащие азиатским и африканским дипломатическим учреждениям и другим высокопоставленным организациям, чтобы получить контроль над их сетями и сохранять постоянство в течение нескольких месяцев, не будучи обнаруженным.

    Злоумышленники также развернули дополнительные инструменты (в том числе China Chopper, BOUNCER, Termite и Earthworm) на этапе постэксплуатации скомпрометированных систем (изготовленные на заказ и ранее использовавшиеся китайскоязычными участниками). Это позволило им перемещаться по сети после сканирования и обнаружения новых уязвимых хостов в сетях жертв.

    Все свидетельства указывают на китайский след.

    Хотя исследователи «Лаборатории Касперского» не смогли связать кампанию с конкретным злоумышленником, тактика, методы и процедуры (ДТС), использованные в атаках, и целевые объекты предполагают, что злоумышленники, скорее всего, говорят по-китайски.

    «Мы также обнаружили более старую версию Moriya, использовавшуюся в автономной атаке в 2018 году, что указывает на то, что злоумышленник был активен как минимум с 2018 года», - добавил Джампаоло Дедола, старший исследователь безопасности в группе глобальных исследований и анализа Kaspersky.

    «Профиль целей и задействованный набор инструментов позволяют предположить, что целью этой кампании является шпионаж, хотя мы можем лишь частично подтвердить это из-за отсутствия видимости каких-либо фактических перекачиваемых данных».

    Более подробную техническую информацию о рутките Moriya и индикаторах компрометации, связанных с кампанией TunnelSnake, можно найти в отчете Касперского.

    В октябре Касперский также обнаружил второй в мире руткит UEFI, используемый в дикой природе (известный как MosaicRegressor), при расследовании атак 2019 года на две неправительственные организации (НПО).

    Предыдущий буткит UEFI, используемый в дикой природе, известен как LoJax и был обнаружен ESET в 2018 году, когда он был внедрен поддерживаемой Россией хакерской группой APT28 в рамках законного противоугонного программного обеспечения LoJack.

    Источник: https://www.bleepingcomputer.com/ne...used-in-the-wild-to-backdoor-windows-systems/
     
Loading...