Rootkit de Moriya utilizado para hacer puertas traseras en los sistemas Windows

Un actor de amenazas desconocido usó un nuevo rootkit sigiloso para hacer puertas traseras a los sistemas Windows dirigidos a lo que parece una campaña de espionaje en curso llamada  TunnelSnake  que se remonta al menos a 2018.

Los rootkits  son herramientas maliciosas diseñadas para evadir la detección al enterrarse profundamente en el sistema operativo y utilizadas por los atacantes para apoderarse completamente de los sistemas infectados mientras evitan la detección.

El malware previamente desconocido,  apodado  Moriya  por los investigadores de Kaspersky  que lo descubrieron en la naturaleza, es una puerta trasera pasiva que permite a los atacantes espiar de forma encubierta el tráfico de red de sus víctimas y enviar comandos a los hosts comprometidos.

Puerta trasera de espionaje inusualmente evasivo

Moriya permitió a los operadores de TunnelSnake capturar y analizar el tráfico de red entrante "desde el espacio de direcciones del kernel de Windows, una región de memoria donde reside el kernel del sistema operativo y donde normalmente solo se ejecuta código privilegiado y confiable".

La forma en que la puerta trasera recibió comandos en forma de paquetes personalizados ocultos dentro del tráfico de red de las víctimas, sin necesidad de comunicarse con un servidor de comando y control, se sumó al sigilo de la operación que muestra el enfoque del actor de amenazas en evadir la detección. .

"Vemos más y más campañas encubiertas como TunnelSnake, donde los actores toman medidas adicionales para permanecer fuera del radar el mayor tiempo posible e invierten en sus conjuntos de herramientas, haciéndolos más personalizados, complejos y más difíciles de detectar", Mark Lechtik, un investigador de seguridad senior de Investigación y Análisis Global de Kaspersky,  dijo .


Según la telemetría de Kaspersky, el malware se implementó en las redes de menos de 10 entidades en un ataque altamente dirigido.

El actor de la amenaza utilizó sistemas traseros pertenecientes a entidades diplomáticas asiáticas y africanas y otras organizaciones de alto perfil para hacerse con el control de sus redes y mantener la persistencia durante meses sin ser detectado.

Los atacantes también desplegaron herramientas adicionales (incluidos China Chopper, BOUNCER, Termite y Earthworm) durante la etapa posterior a la explotación en los sistemas comprometidos (hechos a medida y utilizados previamente por actores de habla china).

Esto les permitió moverse lateralmente en la red después de buscar y encontrar nuevos hosts vulnerables en las redes de las víctimas.

Toda la evidencia apunta a actores de amenazas de habla china

Aunque los investigadores de Kaspersky no pudieron atribuir la campaña a un actor de amenaza específico, las Tácticas, técnicas y procedimientos (TTP) utilizados en los ataques y las entidades objetivo sugieren que los atacantes probablemente hablan chino.

"También encontramos una versión más antigua de Moriya utilizado en un ataque independiente en 2018, lo que apunta a que el actor estar activo por lo menos desde 2018," Giampaolo Dedola, investigador senior de seguridad de Equipo de Investigación y Análisis Global de Kaspersky,  añadió .

"El perfil de los objetivos y el conjunto de herramientas apalancadas sugieren que el propósito del actor en esta campaña es el espionaje, aunque solo podemos atestiguarlo parcialmente con la falta de visibilidad de cualquier dato real extraído".

En el informe de Kaspersky se pueden encontrar más detalles técnicos sobre el rootkit de Moriya y los indicadores de compromiso asociados con la campaña TunnelSnake  .

En octubre, Kaspersky también  encontró el segundo rootkit UEFI utilizado en la naturaleza  (conocido como MosaicRegressor) mientras investigaba los ataques de 2019 contra dos organizaciones no gubernamentales (ONG).

El kit de arranque UEFI anterior  utilizado en la naturaleza se conoce como LoJax  y fue descubierto por ESET en 2018 mientras lo inyectaba el grupo de piratería APT28 respaldado por Rusia dentro del software antirrobo legítimo LoJack.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta