Operazione TunnelSnake: Rilevamento del Rootkit Moriya
Indice:
I ricercatori di sicurezza di Kaspersky Lab hanno scoperto un rootkit Windows precedentemente sconosciuto, utilizzato silenziosamente da un attore APT affiliato alla Cina per anni per installare backdoor sugli istanze infette. Chiamato Moriya, il rootkit fornisce agli attaccanti la possibilità di catturare il traffico di rete ed eseguire segretamente comandi sui dispositivi compromessi, eludendo i prodotti di sicurezza. I ricercatori credono che Moriya completi il set di strumenti malevoli dell’operazione di lunga data TunnelSnake, mirata al cyber-spionaggio contro asset diplomatici regionali in Asia e Africa.
Rootkit Moriya
Secondo il dettagliato approfondimento di Kaspersky, Moriya è uno strumento malevolo sofisticato in grado di piazzare backdoor passive sui server esposti pubblicamente dell’organizzazione. Queste backdoor stabiliscono ulteriormente una connessione nascosta con il server di comando e controllo (C&C) degli attaccanti per monitorare tutto il traffico che attraversa un’istanza compromessa e filtrare i pacchetti destinati a scopi nefasti. In particolare, Moriya non imposta una connessione server, ma attende invece il traffico in entrata. Inoltre, il rootkit ispeziona il traffico in modalità kernel con l’aiuto di un driver Windows e droppa segretamente i pacchetti richiesti. Questo approccio permette agli attaccanti di rimanere inosservati all’interno della rete compromessa per mesi, ottenendo un canale nascosto per eseguire comandi shell.
La struttura del rootkit consiste in un driver in modalità kernel e un agente in modalità utente responsabile del suo dispiegamento e controllo. Per ottenere il primo compito, l’agente sfrutta una tecnica comune che abusa del driver di VirtualBox per eludere il meccanismo di applicazione della firma dei driver e caricare il driver non firmato di Moriya nello spazio di memoria kernel. Questo componente è anche responsabile per il filtraggio dei comandi dal server C&C generando un valore unico che viene aggiunto a ogni pacchetto malevolo passato attraverso il canale nascosto. Inoltre, Moriya è in grado di stabilire una sessione di shell inversa usando un canale manifesto.
Il componente driver in modalità kernel sfrutta la Windows Filtering Platform (WFP) per potenziare le comunicazioni nascoste. In particolare, WFP crea un’API dello spazio kernel che consente al codice del driver malevolo di filtrare i pacchetti di interesse e gestirne l’elaborazione tramite lo stack TCP/IP di Windows. Il driver preleva il traffico relativo a Moriya utilizzando un motore di filtraggio e blocca i pacchetti per nasconderli dall’ispezione. Contemporaneamente, il traffico non correlato viene elaborato come al solito per evitare avvisi di sicurezza dal sistema.
Operazione TunnelSnake
Il rootkit Moriya alimenta una campagna di cyber-spionaggio a lungo termine, chiamata Operazione TunnelSnake da Kaspersky. Sebbene il rootkit sia stato identificato sulle reti compromesse durante il 2019-2020, gli esperti ritengono che gli attori della minaccia potrebbero essere stati attivi dal 2018. La campagna è altamente mirata, avendo solo dieci entità diplomatiche di rilievo attraverso Africa e Asia sull’elenco dei bersagli.
Secondo i ricercatori, un gruppo APT sconosciuto ha sfruttato server web vulnerabili per ottenere l’accesso iniziale e posizionare Moriya insieme ad altri strumenti di post-sfruttamento sulla rete. Il set di strumenti include la web shell China Chopper, BOUNCER, TRAN, Termite, Earthworm e altri campioni di malware sofisticati utilizzati prevalentemente per la scoperta della rete, il movimento laterale e il dispiegamento dei payload. Sebbene la maggior parte degli strumenti siano fatti su misura, i ricercatori hanno scoperto alcuni pezzi di malware open source precedentemente usati da attori APT parlanti cinesi. Questo fatto indica la potenziale origine degli attaccanti, tuttavia l’attribuzione esatta è attualmente sconosciuta.
Vale la pena notare che Moriya potrebbe essere un successore di un rootkit IISSpy più vecchio osservato durante il 2018 in attacchi non legati a TunnelSnake. Inoltre, gli esperti di Kaspersky associano Moriya al malware ProcessKiller tipicamente sfruttato per aggirare la protezione degli antivirus.
Rilevamento del Rootkit Moriya
Per rilevare possibili attività malevoli all’interno della rete organizzativa, puoi scaricare una regola Sigma comunitaria rilasciata dal nostro prolifico sviluppatore Threat Bounty Osman Demir: https://tdm.socprime.com/tdm/info/ihN3d0opmHAn/#sigma
La regola ha traduzioni nelle seguenti lingue:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
MITRE ATT&CK:
Tattiche: Persistenza, Evasione della Difesa
Tecniche: Nuovo Servizio (T1050), Rootkit (T1014)
Ottieni un abbonamento gratuito al Threat Detection Marketplace e potenzia le tue capacità di cyber-difesa con la nostra libreria di contenuti SOC di settore. La libreria aggrega oltre 100K query, parser, dashboard pronti per SOC, regole YARA e Snort, modelli di Machine Learning e Playbook di Risposta agli Incidenti mappati ai framework CVE e MITRE ATT&CK®. Vuoi partecipare a iniziative di threat hunting e creare le tue regole Sigma? Unisciti al nostro Threat Bounty Program per un futuro più sicuro!
