Бесплатно Экспресс-аудит сайта:

08.05.2021

Руткит Moriya используется в атаках на Windows-системы компаний по всему миру

Неизвестные злоумышленники в рамках текущей шпионской кампании используют руткит Moriya для взлома систем под управлением Windows. Кампания под названием TunnelSnake предположительно длится с 2018 года.

Вредоносное ПО Moriya представляет собой бэкдор, позволяющий злоумышленникам тайно шпионить за сетевым трафиком жертв и отправлять команды на взломанные узлы. Moriya позволяет операторам TunnelSnake перехватывать и анализировать входящий сетевой трафик из адресного пространства ядра Windows, где обычно выполняется только привилегированный и доверенный код.

Бэкдор получает команды в виде специально созданных пакетов, скрытых в сетевом трафике жертвы, без необходимости обращаться к C&C-серверу. Данная стратегия дополняет скрытность операции, демонстрируя сосредоточенность злоумышленников на уклонении от обнаружения.

По данным специалистов из «Лаборатории Касперского», вредоносная программа использовалась в ходе атак против менее 10 компаний и организаций по всему миру. Злоумышленники использовали скомпрометированные системы, принадлежащие азиатским и африканским дипломатическим учреждениям и другим высокопоставленным организациям, чтобы получить контроль над их сетями и сохранять персистентность в течение нескольких месяцев.

Злоумышленники также устанавливали дополнительные инструменты, в том числе China Chopper, BOUNCER, Termite и Earthworm после компрометации компьютерных систем. Это позволяло им перемещаться по сети в поисках других уязвимых систем в сетях жертв.

Хотя исследователи не смогли связать кампанию с определенной группировкой, тактика, методы и процедуры, использованные в атаках, указывают на то, что злоумышленники, скорее всего, говорят по-китайски.