Le rootkit Moriya est utilisé pour cibler les systèmes Windows

0

Un groupe de pirates informatique utilise un nouveau rootkit furtif nommé Moriya pour cibler les systèmes Windows dans ce qui ressemble à une campagne d’espionnage en cours surnommé TunnelSnake et qui a commencé au moins en 2018.

Les rootkits sont des outils malveillants conçus pour échapper à la détection en s’enfouissant profondément dans le système d’exploitation et sont utilisés par les hackers pour prendre entièrement le contrôle des systèmes infectés tout en évitant la détection.

Le malware jusque-là inconnu, surnommé Moriya par les chercheurs de Kaspersky qui l’ont découvert, est une porte dérobée passive qui permet aux attaquants d’espionner secrètement le trafic du réseau de leurs victimes et d’envoyer des commandes aux hôtes compromis.

Porte dérobée d’espionnage exceptionnellement évasive

Moriya a permis aux opérateurs de TunnelSnake de capturer et d’analyser le trafic réseau entrant  » à partir de l’espace d’adresse du noyau Windows, une région de mémoire où réside le noyau du système d’exploitation et où s’exécute généralement uniquement le code privilégié et fiable « .

La façon dont la porte dérobée a reçu des commandes sous la forme de paquets sur mesure cachés dans le trafic réseau des victimes, sans avoir besoin de serveur de commande et de contrôle, a ajouté de la furtivité à l’opération montrant l’accent que le pirate informatique a voulu mettre sur l’évasion de la détection.

« Nous voyons de plus en plus de campagnes secrètes comme TunnelSnake, où les hackers prennent des mesures supplémentaires pour rester sous le radar le plus longtemps possible, et investissent dans leurs ensembles d’outils, ce qui les rend plus adaptés, plus complexes et plus difficiles à détecter », a déclaré Mark Lechtik, chercheur principal en sécurité de l’équipe de recherche et d’analyse mondiale de Kaspersky.

moriya tunnelsnake

Selon la télémétrie de Kaspersky, le malware a été déployé sur les réseaux de moins de 10 entités dans des attaques très ciblées

Le pirate informatique a utilisé des systèmes détournés appartenant à des entités diplomatiques asiatiques et africaines et à d’autres organisations de haut niveau pour prendre le contrôle de leurs réseaux et maintenir la persistance pendant des mois sans être détectés.

Les attaquants ont également déployé des outils supplémentaires (y compris China Chopper, BOUNCER, Termite et Earthworm) pendant la phase de post-exploitation sur les systèmes compromis (sur-mesure et précédemment utilisés par des hackers sino-phones).

Cela leur a permis de se déplacer latéralement sur le réseau après avoir scanné et trouvé de nouveaux hôtes vulnérables sur les réseaux des victimes.

Toutes les preuves indiquent que les pirates sont sinophones

Bien que les chercheurs de Kaspersky n’aient pas été en mesure d’attribuer la campagne à un groupe spécifique, les tactiques, techniques et procédures (TTPs) utilisées dans les attaques et les entités visées suggèrent que les attaquants sont probablement sino-phones.

« Nous avons également trouvé une ancienne version de Moriya utilisée dans une attaque autonome en 2018, qui indique que le groupe est actif depuis au moins 2018 », a ajouté Giampaolo Dedola, chercheur principal en sécurité de l’équipe de recherche et d’analyse mondiale de Kaspersky.

« Le profil des cibles et l’ensemble d’outils à effet de levier suggèrent que le but du pirate dans cette campagne est l’espionnage, bien que nous ne pouvons en témoigner que partiellement avec un manque de visibilité sur les données siphonnées. »

Vous trouverez d’autres détails techniques sur le rootkit Moriya et les indicateurs de compromis associés à la campagne de TunnelSnake dans le rapport de Kaspersky.

En octobre, Kaspersky a également trouvé le deuxième rootkit UEFI utilisé dans la nature (connu sous le nom de MosaicRegressor) alors qu’ils enquêtaient sur des attaques menées à partir de 2019 contre deux organisations non gouvernementales (ONG).

Le précédent bootkit UEFI utilisé dans la nature est connu sous le nom de LoJax et a été découvert par ESET en 2018 alors qu’il était injecté par le groupe de piratage APT28 soutenu par la Russie au sein du logiciel d’antivol LoJack.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.