Moriya: il nuovo rootkit cinese colpisce 10 organizzazioni in Africa e Asia.

Redazione RHC : 8 Maggio 2021 06:22

Da quando Microsoft ha rafforzato le funzionalità di sicurezza con il rilascio di Windows 10, i rootkit sono diventati una rarità sulla scena del malware, poiché svilupparne e installarne uno senza essere rilevato o bloccato è diventato significativamente più difficile rispetto agli anni precedenti.

Ma in un rapporto pubblicato da Kaspersky, ha affermato di aver scoperto un nuovo e raro rootkit per Windows che è rimasto inosservato almeno dal 2018 ed è stato implementato in alcuni attacchi altamente mirati.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Kaspersky ha detto che il rootkit (che ha chiamato Moriya), è stato sviluppato da un misterioso gruppo di cyber-spionaggio cinese.

“Sfortunatamente, non siamo in grado di attribuire l’attacco a nessun attore noto in particolare, ma sulla base dei TTP utilizzati durante la campagna, supponiamo che sia di lingua cinese”

ha detto il team di Kaspersky GReAT.

“Basiamo questo sul fatto che le entità prese di mira sono state attaccate in passato da attori in lingua cinese e si trovano generalmente in paesi presi di mira da un profilo APT. Inoltre, gli strumenti sfruttati dagli aggressori, come China Chopper, BOUNCER, Termite e Earthworm, sono un ulteriore indicatore a sostegno della nostra ipotesi poiché sono stati precedentemente utilizzati in campagne attribuite a noti gruppi cinesi”

ha aggiunto la società.

Kaspersky ha affermato che, in base alla sua telemetria, gli attacchi erano altamente mirati verso circa dieci organizzazioni in tutto il mondo.

“Le vittime più importanti sono due grandi organizzazioni nel sud-est asiatico e in Africa, mentre tutte le altre erano nell’Asia meridionale”

ha aggiunto.

Moriya ha utilizzato un design intelligente per evitare il rilevamento, oltre a prendere in prestito tecniche collaudate utilizzate dai rootkit di altri APT (come Turla, Lamberts ed Equation Group).

Per quanto riguarda il modo in cui Moriya è stato installato all’interno delle organizzazioni, Kaspersky ha affermato che il punto di ingresso era solitamente server Web IIS obsoleti, come la CVE-2017-7269 , che gli aggressori hanno abusato per installare una shell web sul server della vittima e quindi utilizzarla per distribuire Moriya.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli