Moriya Rootkit

Moriya Rootkit Descripción

Se ha observado un nuevo rootkit especialmente sigiloso denominado Moriya por los investigadores de infosec como parte de una campaña de espionaje activo. La operación se rastrea como TunnelSnake y parece haber comenzado en 2018 y aún está activa. La campaña parece tener un alcance limitado y solo se dirige a un puñado de entidades específicas de alto valor. Hasta ahora se han detectado menos de 10 víctimas infectadas con Moriya Rootkit. Las redes comprometidas pertenecían a entidades diplomáticas asiáticas y africanas y otras organizaciones de alto perfil. El objetivo aparente de los piratas informáticos es obtener el control de las redes internas de sus víctimas, lograr la persistencia y permanecer ocultos durante un tiempo prolongado mientras recopilan datos. Después de la infección inicial de Moriya Rootkit, se utilizan varias otras amenazas de malware en actividades posteriores a la explotación. Estas amenazas incluyen China Chopper , Termite , Bouncer y Earthworm. Si bien no se ha determinado exactamente el APT o el grupo de piratas informáticos responsable del ataque, ciertas características de la operación apuntan a que se trata de un actor de amenazas de habla china.

Un rootkit con capacidades de sigilo mejoradas

Moriya Rootkit sigue la tendencia entre los actores de amenazas altamente especializados de invertir esfuerzos y recursos adicionales para hacer que sus herramientas de amenazas sean más sofisticadas, se adapten mejor a sus necesidades particulares y estén equipadas con técnicas adicionales de anti-detección. Los rootkits son generalmente más difíciles de descubrir, ya que se sumergen profundamente en el sistema operativo y le dan al actor de amenazas un control casi total sobre la máquina comprometida. Moriya Rootkit se coloca en el espacio de direcciones del kernel de Windows, una región de la memoria del sistema donde solo se espera que se ejecute un código privilegiado y confiable. Una vez establecida, la amenaza de malware permite a los operadores de TunnelSnake interceptar y analizar el tráfico entrante al sistema infectado.

Para enmascarar aún más su presencia, Moriya Rootkit no depende de la comunicación con un servidor de comando y control remoto para recibir comandos. En cambio, los escaneos de amenazas en busca de paquetes personalizados se fusionaron con el tráfico habitual de la red interna de la víctima. Otra señal más de que los operadores detrás de Moriya Rootkit y las operaciones de TunnelSnake ponen un gran énfasis en evadir la detección y mantener el acceso a los objetivos elegidos durante el mayor tiempo posible.