TunnelSnake, кампания кибершпионажа, которая, по оценкам специалистов, проводится с 2019 г. и направлена на дипломатические представительства в Азии и Африке, использует ранее неизвестный руткит. Зловред Moriya позволяет совершать практически любые действия в операционной системе, проникать в сетевой трафик и маскировать вредоносные команды, отправляемые на зараженные устройства. С его помощью злоумышленники несколько месяцев тайно контролировали сети жертв.

Эксперты «Лаборатории Касперского» начали расследование, когда получили от защитных продуктов уведомления об обнаружении уникального руткита внутри сетей компаний-жертв. Он умеет скрываться особенно хорошо благодаря двум особенностям.

Во-первых, руткит проникает в сетевые пакеты и проверяет их из пространства адресов ядра Windows – той области памяти, где обычно работает только привилегированный и доверенный код. Это позволяло зловреду отправлять уникальные вредоносные пакеты до их обработки сетевым стеком операционной системы и, как следствие, избегать детектирования защитными решениями. Во-вторых, руткиту не приходилось обращаться к серверу за командами, как это обычно происходит с бэкдорами. Он получал команды в специально промаркированных пакетах, которые приходили в общем потоке сетевого трафика. Это значит, что злоумышленникам не требовалось создавать и поддерживать командно-контрольную инфраструктуру. Кроме того, это позволяло им тщательно скрывать следы присутствия в системе.

В большинстве случаев руткит разворачивался путем компрометации уязвимых веб-серверов внутри сетей компаний-жертв. В одном случае атакующие заразили сервер веб-оболочкой China Chopper. Это вредоносный код, который позволяет удаленно контролировать зараженный сервер.

Кроме руткита Moriya, злоумышленники использовали и другие инструменты – новые кастомизированные или ранее использованные китайскоговорящими APT-группами. С их помощью атакующие сканировали устройства в локальной сети, находили новые цели и распространяли вредоносное ПО.

Исследователям неизвестно кто именно стоит за этой атакой. Но, судя по целям и инструментам, это может быть одна из известных китайскоговорящих групп. Также была обнаружена более старая версию Moriya, использовавшаяся в отдельной атаке 2018 г. Значит, группа, которая стоит за этой кампанией, активна как минимум с того времени. Выбор целей и инструментов позволяет предположить, что ее цель – шпионаж.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365