ИБ-специалисты «Лаборатории Касперского» обнаружили киберпреступную деятельность одной из китайских APT-группировок, которая использовала руткит Moriya для незаметного проникновения в корпоративные сети и получения контроля над ними.
Руткиты – наборы программных средств (конфигурационных или исполняемых файлов, скриптов), с помощью которых обеспечивается маскировка процессов, файлов, управления событиями, которые происходят в системе, сбор информации.
По информации «Лаборатории Касперского», недавно выявленный руткит Moriya применяется для развертывания пассивных бэкдоров на общедоступных серверах, после чего они используются для установления незаметного соединения с сервером управления и контроля злоумышленников.
С помощью внедренного бэкдора киберпреступники могут отслеживать входящий и исходящий трафик, который проходит через зараженное устройство, фильтровать пакеты, отправленные для вредоносного ПО. Проверка пакетов осуществляется в режиме ядра с использованием драйвера Windows. Руткит Moriya ожидает входящего трафика для скрытия связи с сервером управления, устранения необходимости прямого обращения к серверу, потому что это может оставить след, которые обнаружат средства безопасности.
«С помощью бэкдора и используемой тактики создается скрытый канал связи, который применяется киберпреступниками для отправки команды оболочки и получения обратно своих входных данных. За счет того, что Moriya является пассивным бэкдором, который рассчитан на развертывание на сервере, доступном в интернете, он не имеет жестко запрограммированного адреса сервера управления, полагается только на драйвер Windows, который предоставляем ему пакеты, отфильтрованные из общего входящего трафика зараженного устройства», – отмечают в «Лаборатории Касперского».
В компании Kaspersky убеждены, что за руткитом Moriya стоят китайские APT-группировки, что отчасти подтверждается использованием злоумышленниками инструментов, ранее связанных с китайскими хакерскими группами China Chopper, Bounder, Termite и Earthworm.
«Основные жертвы атак с использованием руткита Moriya – азиатские и африканские организации. Причем атаки проводятся преимущественно на государственные и дипломатические учреждения, и в меньшей степени на частные компании», – заявили в «Лаборатории Касперского».
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
