Un acteur inconnu, capable d’évoluer et d’adapter son ensemble d’outils aux environnements cibles, a infiltré des organisations de premier plan en Asie et en Afrique avec un rootkit Windows évasif depuis au moins 2018.

Appelé ‘Moriya, “le malware est une” porte dérobée passive qui permet aux attaquants d’inspecter tout le trafic entrant vers la machine infectée, de filtrer les paquets qui sont marqués comme étant désignés pour le malware et d’y répondre “, ont déclaré jeudi les chercheurs de Kaspersky Mark Lechtik et Giampaolo Dedola. plongée profonde.

La société russe de cybersécurité a qualifié la campagne d’espionnage en cours ‘TunnelSerpent». D’après l’analyse télémétrique, moins de 10 victimes dans le monde ont été ciblées à ce jour, les victimes les plus importantes étant deux grandes entités diplomatiques en Asie du Sud-Est et en Afrique. Toutes les autres victimes se trouvaient en Asie du Sud.

auditeur de mot de passe

Les premiers rapports sur Moriya sont apparus en novembre dernier lorsque Kaspersky a déclaré avoir découvert l’implant furtif dans les réseaux d’organisations intergouvernementales régionales en Asie et en Afrique. L’activité malveillante associée à l’opération remonterait à novembre 2019, le rootkit persistant dans les réseaux victimes pendant plusieurs mois après l’infection initiale.

“Cet outil a été utilisé pour contrôler les serveurs publics dans ces organisations en établissant un canal secret avec un serveur C2 et en transmettant les commandes shell et leurs sorties au C2”, a déclaré la société mentionné dans son rapport sur les tendances APT pour le troisième trimestre 2020. “Cette fonctionnalité est facilitée à l’aide d’un pilote en mode noyau Windows.”

Les rootkits sont particulièrement dangereux car ils permettent aux attaquants d’obtenir des privilèges élevés dans le système, leur permettant d’intercepter opérations d’entrée / sortie menée par le système d’exploitation sous-jacent et mieux se fondre dans le paysage, ce qui rend difficile la traçabilité des empreintes numériques de l’attaquant.

Microsoft, pour sa part, a mis en place plusieurs protections dans Windows au fil des ans pour empêcher le déploiement et l’exécution réussis de rootkits, ce qui rend Moriya d’autant plus remarquable.

Le gros de l’ensemble d’outils, mis à part la porte dérobée, se compose à la fois de logiciels malveillants propriétaires et bien connus tels que le shell Web China Chopper, BOUNCER, Earthworm et Termite qui ont déjà été utilisés par les acteurs de la menace de langue chinoise, donnant un aperçu de les origines de l’attaquant. Les tactiques, techniques et procédures (TTP) utilisées dans les attaques montrent également que les entités ciblées correspondent au modèle de victimologie associé aux adversaires de langue chinoise.

Les révélations surviennent alors que les menaces persistantes avancées (APT) continuent de multiplier les missions de vol de données hautement ciblées, tout en s’efforçant simultanément de rester sous le radar le plus longtemps possible, de reconstruire leur arsenal de logiciels malveillants, les rendant plus complexes et sur mesure. , et plus difficile à détecter.

“La campagne TunnelSnake démontre l’activité d’un acteur sophistiqué qui investit des ressources importantes dans la conception d’un ensemble d’outils évasif et infiltrant les réseaux d’organisations de haut niveau”, ont déclaré Lechtik et Dedola. «En tirant parti des pilotes Windows, des canaux de communication secrets et des logiciels malveillants propriétaires, le groupe derrière cela maintient un niveau considérable de furtivité.»



Leave a Reply