Moriya Rootkit

Moriya Rootkit 説明

情報セキュリティ研究者によってモリヤと呼ばれる新しい特にステルスなルートキットが、活発なスパイキャンペーンの一環として観察されました。この操作はTunnelSnakeとして追跡されており、2018年に開始され、現在もアクティブになっているようです。キャンペーンの範囲は、少数の特定の価値の高いエンティティのみを対象としているようです。これまでのところ、MoriyaRootkitに感染した犠牲者は10人未満しか検出されていません。侵害されたネットワークは、アジアおよびアフリカの外交組織やその他の著名な組織に属していました。ハッカーの明らかな目標は、被害者の内部ネットワークを制御し、永続性を実現し、データを収集している間、長期間隠されたままにすることです。最初のMoriyaRootkit感染後、他のいくつかのマルウェアの脅威がエクスプロイト後のアクティビティで使用されます。これらの脅威には、チャイナチョッパーシロアリ、バウンサー、ミミズが含まれます。攻撃の原因となった正確なAPTまたはハッカーグループは特定されていませんが、操作の特定の特性は、中国語を話す脅威アクターであることを示しています。

ステルス機能が強化されたルートキット

Moriya Rootkitは、脅威ツールをより洗練され、特定のニーズにより適したものにし、追加の検出防止技術を備えたものにするために追加の努力とリソースを投資するという、高度に専門化された脅威アクターの間の傾向に従います。ルートキットは、侵害されたマシンをほぼ完全に制御できる一方で、オペレーティングシステムの奥深くに潜んでいるため、一般に発見が困難です。 Moriya Rootkitは、Windowsカーネルのアドレス空間に配置されます。これは、特権コードと信頼できるコードのみが実行されることが期待されるシステムのメモリ領域です。マルウェアの脅威が確立されると、TunnelSnakeオペレーターは、感染したシステムへの着信トラフィックを傍受して分析できます。

その存在をさらに隠すために、Moriyaルートキットはコマンドを受信するためにリモートのコマンドアンドコントロールサーバーとの通信に依存しません。代わりに、脅威は、被害者の内部ネットワークの通常のトラフィックにマージされたカスタムメイドのパケットをスキャンします。 Moriya RootkitとTunnelSnakeの操作の背後にいるオペレーターが、検出を回避し、選択したターゲットへのアクセスを可能な限り長く維持することに重点を置いていることを示すさらに別の兆候。