新的秘密Rootkit渗透到了知名组织的网络中

An unknown threat actor with the capabilities to evolve and tailor its toolset to target environments infiltrated high-profile organizations in Asia and Africa with an evasive Windows rootkit since at least 2018.

卡巴斯基的研究人员马克·莱希蒂克和詹帕洛·德多拉周四在一次深入调查中说，这种名为“莫里亚”的恶意软件是一个“被动后门，它允许攻击者检查感染机器的所有传入流量，过滤出标记为该恶意软件的数据包，并对其做出响应”。

这家俄罗斯网络安全公司称正在进行的间谍活动为“TunnelSnake”根据遥测分析，迄今为止，全世界只有不到10名受害者成为目标，其中最突出的目标是东南亚和非洲的两个大型外交实体。其他所有受害者都在南亚。

去年11月，卡巴斯基表示，在亚洲和非洲的区域性政府间组织网络中发现了这种隐形植入物，这是莫里亚的第一份报告。据称，与该操作相关的恶意活动可追溯到2019年11月，最初感染后，rootkit在受害者网络中持续存在数月。

该公司在2020年第三季度的APT趋势报告中表示：“该工具用于控制这些组织中面向公众的服务器，方法是与C2服务器建立秘密通道，并将外壳命令及其输出传递给C2。”。“使用Windows内核模式驱动程序可以简化此功能。”

rootkit尤其危险，因为它们允许攻击者在系统中获得高权限，使他们能够拦截底层操作系统执行的核心输入/输出操作，并更好地融入环境，从而难以追踪攻击者的数字足迹。

就微软而言，多年来已经在Windows中实施了几项保护措施，以防止成功部署和执行Rootkit，这使得Moriya更加值得注意。

除了后门之外，该工具集的大部分由专有和知名的恶意软件组成，如中国斩波器网络外壳、BOUNCER、蚯蚓和白蚁，这些恶意软件以前曾被讲汉语的威胁行为体使用，这让我们能够深入了解攻击者的来源。攻击中使用的战术、技术和程序（TTP）也表明，目标实体符合与说汉语的对手相关的受害者模式。

随着先进持久性威胁（APT）继续加强针对性强的数据窃取任务，同时尽可能长时间处于雷达监视之下，重建其恶意软件库，使其更具针对性、更复杂、更难检测，这些信息被披露。

Lechtik和Dedola说：“TunnelSnake活动展示了一个老练的参与者的活动，他们投入大量资源，设计了一个规避的工具集，并渗透了知名组织的网络。”。“通过利用Windows驱动程序、隐蔽通信渠道和专有恶意软件，它背后的集团保持了相当程度的隐蔽性。”