Nuevo rootkit utilizado en el terreno como puerta trasera para sistemas Windows

Iniciado por AXCESS, Mayo 06, 2021, 06:36:07 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas desconocido usó un nuevo rootkit sigiloso para crear puertas traseras a los sistemas Windows, dirigidos a lo que parece ser, una campaña de espionaje en curso denominada TunnelSnake que se remonta al menos a 2018.

Los rootkits son herramientas maliciosas diseñadas para evadir la detección al enterrarse profundamente en el sistema operativo, y es utilizadas por los atacantes para apoderarse completamente de los sistemas infectados mientras evitan la detección.

El malware previamente desconocido, apodado Moriya por los investigadores de Kaspersky que lo descubrieron en el terreno, es una puerta trasera pasiva que permite a los atacantes espiar de forma encubierta el tráfico de red de sus víctimas y enviar comandos a los hosts comprometidos.

Puerta trasera de espionaje inusualmente evasiva

Moriya permitió a los operadores de TunnelSnake capturar y analizar el tráfico de red entrante "desde el espacio de direcciones del kernel de Windows, una región de memoria donde reside el kernel del sistema operativo y donde normalmente solo se ejecuta el código privilegiado y confiable".

La forma en que la puerta trasera recibió comandos en forma de paquetes personalizados ocultos dentro del tráfico de la red de las víctimas, sin necesidad de comunicarse con un servidor de comando y control, se agregó al sigilo de la operación que muestra el enfoque del actor de amenazas en evadir la detección.

"Vemos más y más campañas encubiertas como TunnelSnake, donde los actores toman medidas adicionales para permanecer fuera del radar el mayor tiempo posible e invierten en sus conjuntos de herramientas, haciéndolos más personalizados, complejos y más difíciles de detectar", Mark Lechtik, un investigador senior de seguridad del Equipo de Análisis e Investigación Global de Kaspersky.

Arquitectura de rootkit de Moriya

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según la telemetría de Kaspersky, el malware se implementó en las redes de menos de 10 entidades en un ataque altamente dirigido.

El actor de la amenaza utilizó sistemas traseros pertenecientes a entidades diplomáticas asiáticas y africanas y otras organizaciones de alto perfil para hacerse con el control de sus redes y mantener la persistencia durante meses sin ser detectado.

Los atacantes también desplegaron herramientas adicionales (incluidos China Chopper, BOUNCER, Termite y Earthworm) durante la etapa posterior a la explotación en los sistemas comprometidos (hechos a medida y utilizados previamente por actores de habla china).

Esto les permitió moverse lateralmente en la red después de buscar y encontrar nuevos hosts vulnerables en las redes de las víctimas.

Toda la evidencia apunta a actores de amenazas de habla china


Aunque los investigadores de Kaspersky no pudieron atribuir la campaña a un actor de amenaza específico, las Tácticas, técnicas y procedimientos (TTP) utilizados en los ataques y las entidades objetivo sugieren que los atacantes probablemente hablan chino.

"También encontramos una versión anterior de Moriya utilizada en un ataque independiente en 2018, lo que apunta a que el actor está activo desde al menos 2018", agregó Giampaolo Dedola, investigador senior de seguridad del Equipo de Análisis e Investigación Global de Kaspersky.

"El perfil de los objetivos y el conjunto de herramientas apalancadas sugieren que el propósito del actor en esta campaña es el espionaje, aunque solo podemos atestiguarlo parcialmente con la falta de visibilidad de cualquier dato real extraído".

En el informe de Kaspersky se pueden encontrar más detalles técnicos sobre el rootkit de Moriya y los indicadores de compromiso asociados con la campaña TunnelSnake:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En octubre, Kaspersky también encontró el segundo rootkit UEFI utilizado en el terreno (conocido como MosaicRegressor) mientras investigaba los ataques de 2019 contra dos organizaciones no gubernamentales (ONG).

El kit de arranque UEFI anterior utilizado en el terreno, se conoce como LoJax y fue descubierto por ESET en 2018 mientras lo inyectaba el grupo de piratería APT28 respaldado por Rusia dentro del software antirrobo legítimo LoJack.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
--------------------------------------------------------------
Una frase para inspirarle:
"A veces la vida te pondrá a prueba, pero recuerda esto: cuando subes una montaña, tus piernas se fortalecen"
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta