Moriya Rootkit

Description de Moriya Rootkit

Un nouveau rootkit particulièrement furtif surnommé Moriya par les chercheurs d'Infosec a été observé dans le cadre d'une campagne d'espionnage active. L'opération est suivie sous le nom de TunnelSnake et semble avoir commencé en 2018 et être toujours active. La campagne semble avoir une portée limitée et ne cibler qu'une poignée d'entités spécifiques de grande valeur. Jusqu'à présent, moins de 10 victimes infectées par Moriya Rootkit ont été détectées. Les réseaux compromis appartenaient à des entités diplomatiques asiatiques et africaines et à d'autres organisations de haut niveau. L'objectif apparent des hackers est de prendre le contrôle des réseaux internes de leurs victimes, d'atteindre la persévérance et de rester cachés pendant une période prolongée tout en recueillant des données. Après l'infection initiale de Moriya Rootkit, plusieurs autres menaces de logiciels malveillants sont utilisées dans les activités post-exploitation. Ces menaces comprennent China Chopper , Termite , Bouncer et Earthworm. Bien que l'APT ou le groupe de hackers responsable de l'attaque n'ait pas été déterminé, certaines caractéristiques de l'opération indiquent qu'il s'agit d'un acteur de la menace de langue chinoise.

Un rootkit avec des capacités de furtivité améliorées

Le Moriya Rootkit suit la tendance des acteurs hautement spécialisés de la menace à investir des efforts et des ressources supplémentaires pour rendre leurs outils menaçants plus sophistiqués, mieux adaptés à leurs besoins particuliers et équipés de techniques anti-détection supplémentaires. Les rootkits sont généralement plus difficiles à découvrir, car ils s'enfoncent profondément dans le système d'exploitation tout en donnant à l'acteur menaçant un contrôle presque total sur la machine compromise. Le Moriya Rootkit se place dans l'espace d'adressage du noyau Windows, une région de la mémoire du système où seuls des privilèges et un code de confiance sont censés s'exécuter. Une fois établie, la menace malveillante permet aux opérateurs TunnelSnake d'intercepter et d'analyser le trafic entrant vers le système infecté.

Pour masquer davantage sa présence, le Moriya Rootkit ne repose pas sur la communication avec un serveur de commande et de contrôle distant pour recevoir des commandes. Au lieu de cela, la menace analyse les paquets personnalisés fusionnés dans le trafic habituel du réseau interne de la victime. Encore un autre signe que les opérateurs derrière Moriya Rootkit et les opérations TunnelSnake mettent fortement l'accent sur le contournement de la détection et le maintien de l'accès aux cibles choisies aussi longtemps que possible.