Moriya: il nuovo rootkit cinese colpisce 10 organizzazioni in Africa e Asia.

Redazione RHC : 8 Maggio 2021 06:22

Da quando Microsoft ha rafforzato le funzionalità di sicurezza con il rilascio di Windows 10, i rootkit sono diventati una rarità sulla scena del malware, poiché svilupparne e installarne uno senza essere rilevato o bloccato è diventato significativamente più difficile rispetto agli anni precedenti.

Ma in un rapporto pubblicato da Kaspersky, ha affermato di aver scoperto un nuovo e raro rootkit per Windows che è rimasto inosservato almeno dal 2018 ed è stato implementato in alcuni attacchi altamente mirati.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Kaspersky ha detto che il rootkit (che ha chiamato Moriya), è stato sviluppato da un misterioso gruppo di cyber-spionaggio cinese.

“Sfortunatamente, non siamo in grado di attribuire l’attacco a nessun attore noto in particolare, ma sulla base dei TTP utilizzati durante la campagna, supponiamo che sia di lingua cinese”

ha detto il team di Kaspersky GReAT.

“Basiamo questo sul fatto che le entità prese di mira sono state attaccate in passato da attori in lingua cinese e si trovano generalmente in paesi presi di mira da un profilo APT. Inoltre, gli strumenti sfruttati dagli aggressori, come China Chopper, BOUNCER, Termite e Earthworm, sono un ulteriore indicatore a sostegno della nostra ipotesi poiché sono stati precedentemente utilizzati in campagne attribuite a noti gruppi cinesi”

ha aggiunto la società.

Kaspersky ha affermato che, in base alla sua telemetria, gli attacchi erano altamente mirati verso circa dieci organizzazioni in tutto il mondo.

“Le vittime più importanti sono due grandi organizzazioni nel sud-est asiatico e in Africa, mentre tutte le altre erano nell’Asia meridionale”

ha aggiunto.

Moriya ha utilizzato un design intelligente per evitare il rilevamento, oltre a prendere in prestito tecniche collaudate utilizzate dai rootkit di altri APT (come Turla, Lamberts ed Equation Group).

Per quanto riguarda il modo in cui Moriya è stato installato all’interno delle organizzazioni, Kaspersky ha affermato che il punto di ingresso era solitamente server Web IIS obsoleti, come la CVE-2017-7269 , che gli aggressori hanno abusato per installare una shell web sul server della vittima e quindi utilizzarla per distribuire Moriya.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli