Nuevos rootkits sigilosos infiltrados en redes de organizaciones de alto perfil

Un actor de amenazas desconocido con la capacidad de evolucionar y adaptar su conjunto de herramientas a los entornos de destino se infiltró en organizaciones de alto perfil en Asia y África con un evasivo rootkit de Windows desde al menos 2018.

Llamado ‘Moriya’, el malware es una «puerta trasera pasiva que permite a los atacantes inspeccionar todo el tráfico entrante a la máquina infectada, filtrar los paquetes que están marcados como designados para el malware y responder a ellos», dijeron los investigadores de Kaspersky Mark Lechtik y Giampaolo Dedola. en una inmersión profunda del jueves.

La empresa rusa de ciberseguridad denominó a la campaña de espionaje en curso ‘TunnelSnake’. Según el análisis de telemetría, hasta la fecha se han atacado menos de 10 víctimas en todo el mundo, y los objetivos más destacados son dos grandes entidades diplomáticas en el sudeste asiático y África. Todas las demás víctimas estaban ubicadas en el sur de Asia.

Los primeros informes de Moriya surgieron en noviembre pasado cuando Kaspersky dijo que descubrió el implante sigiloso en las redes de organizaciones intergubernamentales regionales en Asia y África. Se dice que la actividad maliciosa asociada con la operación se remonta a noviembre de 2019, y el rootkit persistió en las redes de las víctimas durante varios meses después de la infección inicial.

«Esta herramienta se usó para controlar servidores públicos en esas organizaciones al establecer un canal encubierto con un servidor C2 y pasar comandos de shell y sus salidas al C2», dijo la compañía en su informe de tendencias APT para el tercer trimestre de 2020. «Esta capacidad es facilitado utilizando un controlador de modo kernel de Windows «.

Los rootkits son particularmente peligrosos ya que permiten a los atacantes obtener altos privilegios en el sistema, lo que les permite interceptar las operaciones principales de entrada/salida realizadas por el sistema operativo subyacente y combinarse mejor con el entorno, lo que dificulta el seguimiento de las huellas digitales del atacante.

Microsoft, por su parte, ha implementado varias protecciones en Windows a lo largo de los años para evitar la implementación y ejecución exitosa de rootkits, lo que hace que Moriya sea aún más notable.

La mayor parte del conjunto de herramientas, además de la puerta trasera, consta de piezas de malware tanto patentadas como conocidas, como China Chopper web shell, BOUNCER, Earthworm y Termite, que han sido utilizadas anteriormente por actores de amenazas de habla china, lo que brinda una idea de los orígenes del atacante. Las tácticas, técnicas y procedimientos (TTP) utilizados en los ataques también muestran que las entidades objetivo se ajustan al patrón de victimología asociado con los adversarios de habla china.

Las revelaciones se producen a medida que las amenazas persistentes avanzadas (APT, por sus siglas en inglés) continúan aumentando las misiones de robo de datos altamente específicas, mientras que al mismo tiempo hacen todo lo posible para permanecer bajo el radar el mayor tiempo posible, reconstruir su arsenal de malware, haciéndolos más personalizados y complejos. y más difíciles de detectar.

«La campaña TunnelSnake demuestra la actividad de un actor sofisticado que invierte importantes recursos en el diseño de un conjunto de herramientas evasivas y redes de infiltración de organizaciones de alto perfil», dijeron Lechtik y Dedola. «Al aprovechar los controladores de Windows, los canales de comunicación encubiertos y el malware patentado, el grupo detrás de él mantiene un nivel considerable de sigilo».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática