Gli esperti di Kaspersky, nel corso dell’analisi di una campagna di attacchi (nome in codice TunnelSnake), hanno individuato un rootkit denominato “Moriya” che viene utilizzato da un attore sconosciuto per distribuire backdoor passive su server rivolti al pubblico, facilitando la creazione di un canale di comunicazione C&C nascosto attraverso il quale possono essere controllati in silenzio.
Il rootkit è stato trovato su reti di organizzazioni diplomatiche regionali in Asia e Africa, rilevato in diversi casi risalenti a ottobre 2019 e maggio 2020, dove l’infezione è persistita nelle reti mirate per diversi mesi dopo ogni implementazione del malware.
Il rootkit presenta due caratteristiche che lo rendono particolarmente evasivo. L’ispezione dei pacchetti avviene in modalità kernel con l’utilizzo di un driver di Windows, consentendo agli aggressori di rilasciare i pacchetti di interesse prima che vengano elaborati dallo stack di rete, garantendo così che non vengano rilevati dalle soluzioni di sicurezza. In secondo luogo, il fatto che il rootkit attenda il traffico in entrata anziché avviare una connessione a un server stesso, evita la necessità di incorporare un indirizzo C&C nel binario del malware o di mantenere un’infrastruttura C&C stabile. Ciò ostacola l’analisi e rende difficile tracciare le impronte dell’aggressore.
In pratica, il rootkit permette di creare un canale nascosto che permette ai pirati informatici di inviare dei comandi shell al malware, offuscando con estrema efficacia le comunicazioni della backdoor verso il loro server Command and Control.
Il primo ordine del giorno per l’attaccante quando utilizza Moriya è ottenere la persistenza sul computer di destinazione. Dopo l’avvio del servizio, l’agente tenterà di caricare il driver del rootkit sia in versione 32 bit che 64 bit nel sistema. Il suo binario è raggruppato come due immagini di driver all’interno della sezione delle risorse della DLL, corrispondenti alle architetture a 32 e 64 bit, mentre in realtà solo una di esse viene scritta su disco
Il vettore iniziale di attacco, secondo i ricercatori di Kaspersky, sfrutterebbe vulnerabilità conosciute nei Web Server esposti su Internet.
Moriya sarebbe stato utilizzato in attacchi altamente mirati e consegnati a meno di 10 vittime in tutto il mondo. Le vittime più importanti sono due grandi organizzazioni diplomatiche regionali nel sud-est asiatico e in Africa, mentre tutte le altre sono state vittime nell’Asia meridionale.
https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/
