Новый руткит Moriya использовался для установки бэкдоров в системы с Windows

Дата: 07.05.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Новый руткит Moriya использовался для установки бэкдоров в системы с Windows

ИБ-специалисты «Лаборатории Касперского» обнаружили киберпреступную деятельность одной из китайских APT-группировок, которая использовала руткит Moriya для незаметного проникновения в корпоративные сети и получения контроля над ними.

Руткиты – наборы программных средств (конфигурационных или исполняемых файлов, скриптов), с помощью которых обеспечивается маскировка процессов, файлов, управления событиями, которые происходят в системе, сбор информации.

По информации «Лаборатории Касперского», недавно выявленный руткит Moriya применяется для развертывания пассивных бэкдоров на общедоступных серверах, после чего они используются для установления незаметного соединения с сервером управления и контроля злоумышленников.

С помощью внедренного бэкдора киберпреступники могут отслеживать входящий и исходящий трафик, который проходит через зараженное устройство, фильтровать пакеты, отправленные для вредоносного ПО. Проверка пакетов осуществляется в режиме ядра с использованием драйвера Windows. Руткит Moriya ожидает входящего трафика для скрытия связи с сервером управления, устранения необходимости прямого обращения к серверу, потому что это может оставить след, которые обнаружат средства безопасности.

«С помощью бэкдора и используемой тактики создается скрытый канал связи, который применяется киберпреступниками для отправки команды оболочки и получения обратно своих входных данных. За счет того, что Moriya является пассивным бэкдором, который рассчитан на развертывание на сервере, доступном в интернете, он не имеет жестко запрограммированного адреса сервера управления, полагается только на драйвер Windows, который предоставляем ему пакеты, отфильтрованные из общего входящего трафика зараженного устройства», – отмечают в «Лаборатории Касперского».

В компании Kaspersky убеждены, что за руткитом Moriya стоят китайские APT-группировки, что отчасти подтверждается использованием злоумышленниками инструментов, ранее связанных с китайскими хакерскими группами China Chopper, Bounder, Termite и Earthworm.

«Основные жертвы атак с использованием руткита Moriya – азиатские и африканские организации. Причем атаки проводятся преимущественно на государственные и дипломатические учреждения, и в меньшей степени на частные компании», – заявили в «Лаборатории Касперского».

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *