Злоумышленники использовали скомпрометированные системы для контроля над сетями жертв и сохранения персистентности в течение нескольких месяцев.
Неизвестные злоумышленники в рамках текущей шпионской кампании используют руткит Moriya для взлома систем под управлением Windows. Кампания под названием TunnelSnake предположительно длится с 2018 года.
Вредоносное ПО Moriya представляет собой бэкдор, позволяющий злоумышленникам тайно шпионить за сетевым трафиком жертв и отправлять команды на взломанные узлы. Moriya позволяет операторам TunnelSnake перехватывать и анализировать входящий сетевой трафик из адресного пространства ядра Windows, где обычно выполняется только привилегированный и доверенный код.
Бэкдор получает команды в виде специально созданных пакетов, скрытых в сетевом трафике жертвы, без необходимости обращаться к C&C-серверу. Данная стратегия дополняет скрытность операции, демонстрируя сосредоточенность злоумышленников на уклонении от обнаружения.
По данным специалистов из «Лаборатории Касперского», вредоносная программа использовалась в ходе атак против менее 10 компаний и организаций по всему миру. Злоумышленники использовали скомпрометированные системы, принадлежащие азиатским и африканским дипломатическим учреждениям и другим высокопоставленным организациям, чтобы получить контроль над их сетями и сохранять персистентность в течение нескольких месяцев.
Злоумышленники также устанавливали дополнительные инструменты, в том числе China Chopper, BOUNCER, Termite и Earthworm после компрометации компьютерных систем. Это позволяло им перемещаться по сети в поисках других уязвимых систем в сетях жертв.
Хотя исследователи не смогли связать кампанию с определенной группировкой, тактика, методы и процедуры, использованные в атаках, указывают на то, что злоумышленники, скорее всего, говорят по-китайски.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале