Moriya Rootkit
Im Rahmen einer aktiven Spionagekampagne wurde ein neues, besonders verstohlenes Rootkit beobachtet, das von Infosec-Forschern als Moriya bezeichnet wird. Der Vorgang wird als TunnelSnake verfolgt und scheint bereits 2018 begonnen zu haben und noch aktiv zu sein. Der Umfang der Kampagne scheint begrenzt zu sein und richtet sich nur an eine Handvoll bestimmter hochwertiger Unternehmen. Bisher wurden weniger als 10 mit Moriya Rootkit infizierte Opfer entdeckt. Die kompromittierten Netzwerke gehörten asiatischen und afrikanischen diplomatischen Einheiten und anderen hochrangigen Organisationen. Das offensichtliche Ziel der Hacker ist es, die Kontrolle über die internen Netzwerke ihrer Opfer zu erlangen, Persistenz zu erreichen und beim Sammeln von Daten für längere Zeit verborgen zu bleiben. Nach der ersten Moriya Rootkit-Infektion werden mehrere andere Malware-Bedrohungen für Aktivitäten nach der Ausnutzung verwendet. Diese Bedrohungen umfassen China Chopper, Termite, Bouncer und Regenwurm. Während die genaue APT oder Hacker-Gruppe, die für den Angriff verantwortlich ist, nicht bestimmt wurde, deuten bestimmte Merkmale der Operation darauf hin, dass es sich um einen chinesischsprachigen Bedrohungsakteur handelt.
Ein Rootkit mit erweiterten Stealth-Funktionen
Das Moriya Rootkit folgt dem Trend hochspezialisierter Bedrohungsakteure, zusätzliche Anstrengungen und Ressourcen zu investieren, um ihre Bedrohungsinstrumente ausgefeilter, besser auf ihre besonderen Bedürfnisse zugeschnitten und mit zusätzlichen Anti-Erkennungs-Techniken ausgestattet zu machen. Rootkits sind im Allgemeinen schwerer aufzudecken, da sie sich tief in das Betriebssystem vergraben und dem Bedrohungsakteur nahezu die volle Kontrolle über die gefährdete Maschine geben. Das Moriya Rootkit befindet sich im Adressraum des Windows-Kernels, einem Bereich des Systemspeichers, in dem nur privilegierte und vertrauenswürdige Codes ausgeführt werden sollen. Sobald die Malware-Bedrohung festgestellt wurde, können die TunnelSnake-Betreiber eingehenden Datenverkehr zum infizierten System abfangen und analysieren.
Um seine Präsenz weiter zu maskieren, ist das Moriya Rootkit nicht auf die Kommunikation mit einem Remote-Command-and-Control-Server angewiesen, um Befehle zu empfangen. Stattdessen wird die Bedrohung nach benutzerdefinierten Paketen durchsucht, die in den üblichen Datenverkehr des internen Netzwerks des Opfers integriert sind. Ein weiteres Zeichen dafür, dass die Betreiber von Moriya Rootkit und den TunnelSnake-Operationen großen Wert darauf legen, der Erkennung zu entgehen und den Zugriff auf die ausgewählten Ziele so lange wie möglich aufrechtzuerhalten.
