С тех пор, как Microsoft усилила функции безопасности с выпуском Windows 10, руткиты стали редкостью на сцене вредоносных программ, поскольку разработка и последующая успешная установка без обнаружения или блокировки стало значительно сложнее, чем в предыдущие годы.
Но в опубликованном сегодня отчете компания по безопасности Kaspersky сообщила, что обнаружила редкий руткит Windows, который оставался незамеченным, по крайней мере, с 2018 года и использовался в некоторых узконаправленных атаках.
По словам Kaspersky, руткит, под названием Moriya, был разработан таинственным злоумышленником, имеющим все признаки того, что он является китайской хакерской группировкой. «К сожалению, мы не можем приписать атаку какому-либо конкретному известному субъекту, но, судя по ТТП, используемым на протяжении всей кампании, мы предполагаем, его китайскоязычное происхождение», - заявила сегодня команда Kaspersky.
«Мы основываем это на том факте, что целевые объекты подвергались атакам в прошлом китайскоязычными субъектами и, как правило, расположены в странах, которые обычно являются объектами атак такого профиля. Кроме того, инструменты, используемые злоумышленниками, такие как China Chopper, BOUNCER, Termite и Earthworm, являются дополнительным индикатором, подтверждающим нашу гипотезу, поскольку они ранее использовались в кампаниях, приписываемых известным китайскоязычным группам», - добавили в компании. Kaspersky сказал, что, судя по телеметрии, атаки были очень целенаправленными, и группа доставила руткит Moriya менее чем десяти жертвам по всему миру.
«Наиболее заметными жертвами стали две крупные региональные дипломатические организации в Юго-Восточной Азии и Африке, а все остальные жертвы - в Южной Азии», - добавили они.
Российская компания заявила, что злоумышленник остался незамеченным из-за конструкции Moriya, которая, помимо заимствования проверенных методов, используемых руткитами других APT (таких как Turla, Lamberts и Equation Group), также использовала собственные уловки. Это включало в себя вставку между сетевым стеком Windows TCP / IP и входящим сетевым трафиком, а затем перехват пакетов данных до того, как они достигли операционной системы и любого локально установленного антивируса.
Moriya анализировал входящие сетевые данные, чтобы найти в TCP-пакетах так называемое «магическое значение», которое активирует функции руткита и инструктирует вредоносное ПО выполнять различные операции.
Что касается того, как Moriya был установлен внутри организаций, Kaspersky сказал, что точкой входа были устаревшие веб-серверы IIS. Одной из подтвержденных точек входа, по данным компании по обеспечению безопасности, был сервер, на котором не было исправлений уязвимости, которую злоумышленники использовали для установки веб-оболочки на сервере жертвы, а затем использовали ее для развертывания Moriya.
Несмотря на то, что известные случаи развертывания Moriya настолько редки, Kaspersky опубликовал индикаторы компрометации, позволяющие компаниям сканировать серверы и рабочие станции на предмет артефактов Moriya.
