Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Руткит Moriya используется в атаках на Windows-системы компаний

11/05/21

hack115-1Неизвестные злоумышленники в рамках текущей шпионской кампании используют руткит Moriya для взлома систем под управлением Windows. Кампания под названием TunnelSnake предположительно длится с 2018 года.

Вредоносное ПО Moriya представляет собой бэкдор, позволяющий злоумышленникам тайно шпионить за сетевым трафиком жертв и отправлять команды на взломанные узлы. Moriya позволяет операторам TunnelSnake перехватывать и анализировать входящий сетевой трафик из адресного пространства ядра Windows, где обычно выполняется только привилегированный и доверенный код.

Бэкдор получает команды в виде специально созданных пакетов, скрытых в сетевом трафике жертвы, без необходимости обращаться к C&C-серверу. Данная стратегия дополняет скрытность операции, демонстрируя сосредоточенность злоумышленников на уклонении от обнаружения.

По данным специалистов из «Лаборатории Касперского», вредоносная программа использовалась в ходе атак против менее 10 компаний и организаций по всему миру. Злоумышленники использовали скомпрометированные системы, принадлежащие азиатским и африканским дипломатическим учреждениям и другим высокопоставленным организациям, чтобы получить контроль над их сетями и сохранять персистентность в течение нескольких месяцев.

Злоумышленники также устанавливали дополнительные инструменты, в том числе China Chopper, BOUNCER, Termite и Earthworm после компрометации компьютерных систем. Это позволяло им перемещаться по сети в поисках других уязвимых систем в сетях жертв.

Хотя исследователи не смогли связать кампанию с определенной группировкой, тактика, методы и процедуры, использованные в атаках, указывают на то, что злоумышленники, скорее всего, говорят по-китайски.

Темы:WindowsПреступленияЛКTunnelSnake
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...