Opération TunnelSnake : Détection du Rootkit Moriya

[post-views]
mai 12, 2021 · 5 min de lecture
Opération TunnelSnake : Détection du Rootkit Moriya

Des chercheurs en sécurité de Kaspersky Lab ont découvert un rootkit Windows auparavant inconnu, utilisé clandestinement par un acteur APT affilié à la Chine pendant des années pour installer des portes dérobées sur les instances infectées. Surnommé Moriya, le rootkit offre aux attaquants la capacité de capturer le trafic réseau et d’exécuter des commandes de manière secrète sur les appareils compromis tout en passant sous le radar des produits de sécurité. Les chercheurs pensent que Moriya complète l’ensemble d’outils malveillants de l’opération de longue durée TunnelSnake, visant à la cyber-espionnage contre des actifs diplomatiques régionaux à travers l’Asie et l’Afrique.

Rootkit Moriya

Selon l’enquête détaillée de Kaspersky, Moriya est un outil malveillant sophistiqué capable de placer des portes dérobées passives sur les serveurs exposés au public de l’organisation. Ces portes dérobées établissent en outre une connexion secrète avec le serveur de commandement et de contrôle (C&C) des attaquants pour surveiller tout le trafic passant par une instance compromise et filtrer les paquets destinés à des fins malveillantes. Notamment, Moriya ne met pas en place une connexion serveur mais attend plutôt le trafic entrant. De plus, le rootkit inspecte le trafic en mode noyau à l’aide d’un pilote Windows et dépose les paquets requis de manière furtive. Cette approche permet aux attaquants de rester inaperçus dans le réseau compromis pendant des mois en obtenant un canal secret pour exécuter des commandes shell. from Kaspersky, Moriya is a sophisticated malicious tool able to place passive backdoors on the public-facing servers of the organization. These backdoors further establish a covert connection with the attackers’ command-and-control (C&C) server to monitor all the traffic going through a compromised instance and filter packets designated for nefarious purposes. Notably, Moriya does not set up a server connection but waits for the incoming traffic instead. Furthermore, the rootkit inspects traffic in kernel mode with the help of a Windows driver and drops the required packets stealthily. This approach allows attackers to stay unnoticed inside the compromised network for months obtaining a covert channel to execute shell commands. 

La structure du rootkit se compose d’un pilote en mode noyau et d’un agent en mode utilisateur responsable de son déploiement et de son contrôle. Pour accomplir la première tâche, l’agent utilise une technique courante qui abuse du pilote VirtualBox pour contourner le mécanisme d’application de la signature des pilotes et charger le pilote non signé de Moriya dans l’espace mémoire du noyau. De plus, ce composant est responsable du filtrage des commandes du serveur C&C en générant une valeur unique, qui est ajoutée à chaque paquet malveillant passant par le canal secret. De plus, Moriya est capable d’établir une session shell inversée en utilisant un canal visible.

Le composant du pilote en mode noyau profite de la plateforme de filtrage Windows (WFP) pour alimenter les communications cachées. En particulier, WFP crée une API d’espace noyau qui permet au code du pilote malveillant de filtrer les paquets d’intérêt et de gérer leur traitement par la pile TCP/IP de Windows. Le pilote récupère le trafic lié à Moriya à l’aide d’un moteur de filtrage et bloque les paquets pour les cacher des inspections. Simultanément, le trafic non lié est traité normalement pour éviter toute alerte de sécurité du système.

Opération TunnelSnake

Le rootkit Moriya alimente une campagne de cyber-espionnage de longue durée, surnommée Operation TunnelSnake par Kaspersky. Bien que le rootkit ait été identifié sur des réseaux compromis pendant 2019-2020, les experts pensent que les acteurs menaçants pourraient avoir été actifs depuis 2018. La campagne est hautement ciblée, avec seulement dix entités diplomatiques prominentes à travers l’Afrique et l’Asie sur la liste des cibles.

Selon les chercheurs, un groupe APT inconnu a exploité des serveurs web vulnérables pour obtenir un accès initial et placer Moriya aux côtés d’autres outils post-exploitation sur le réseau. L’ensemble d’outils comprend la web shell China Chopper, BOUNCER, TRAN, Termite, Earthworm, et d’autres échantillons de logiciels malveillants sophistiqués principalement utilisés pour la découverte de réseau, le mouvement latéral, et le déploiement de charges utiles. Bien que la plupart des outils soient faits sur mesure, les chercheurs ont découvert des pièces de logiciels malveillants open source précédemment utilisées par des acteurs APT de langue chinoise. Ce fait pointe vers l’origine potentielle des attaquants, néanmoins, l’attribution exacte est actuellement inconnue.

Il convient de noter que Moriya pourrait être un successeur d’un ancien rootkit IISSpy observé pendant 2018 dans des attaques non liées à TunnelSnake. De plus, les experts de Kaspersky lient Moriya au malware ProcessKiller généralement utilisé pour contourner la protection anti-virus.

Détection du rootkit Moriya

Pour détecter une activité malveillante potentielle à l’intérieur du réseau organisationnel, vous pouvez télécharger une règle Sigma communautaire publiée par notre prolifique développeur de Threat Bounty Osman Demir: https://tdm.socprime.com/tdm/info/ihN3d0opmHAn/#sigma

La règle dispose de traductions pour les langues suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

MITRE ATT&CK :

Tactiques : Persistance, Évasion de Défense

Techniques : Nouveau service (T1050), Rootkit (T1014)

Obtenez un abonnement gratuit à Threat Detection Marketplace et améliorez vos capacités de cyber-défense avec notre bibliothèque de contenu SOC, la première de l’industrie. La bibliothèque agrège plus de 100 000 requêtes, analyseurs, tableaux de bord prêts pour le SOC, règles YARA et Snort, modèles de Machine Learning, et Playbooks de réponse aux incidents cartographiés aux cadres CVE et MITRE ATT&CK®. Vous souhaitez participer aux initiatives de chasse aux menaces et créer vos propres règles Sigma ? Rejoignez notre programme de récompense de menace pour un avenir plus sûr !

Accéder à la plateforme Rejoignez Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités