Un actor de amenazas desconocido usó un nuevo rootkit sigiloso para hacer una puerta trasera en los sistemas Windows dirigidos a lo que parece ser una campaña de espionaje en curso. TúnelSerpiente que se remonta al menos a 2018.
Los rootkits son herramientas maliciosas diseñadas para evadir la detección enterrándose profundamente en el sistema operativo y utilizadas por los atacantes para tomar el control total de los sistemas infectados evitando la detección.
Malware previamente desconocido, apodado Moriya por investigadores de Kaspersky que lo descubrió en la naturaleza, es una puerta trasera pasiva que permite a los atacantes espiar en secreto el tráfico de red de sus víctimas y enviar comandos a los hosts comprometidos.
Moriya permitió a los operadores de TunnelSnake capturar y analizar el tráfico de red entrante “desde el espacio de direcciones del kernel de Windows, una región de la memoria donde reside el kernel del sistema operativo y donde solo se ejecuta normalmente el código privilegiado y confiable”.
La forma en que la puerta trasera recibió comandos en forma de paquetes personalizados ocultos en el tráfico de la red de las víctimas, sin la necesidad de ponerse en contacto con un servidor de comando y control, se sumó al sigilo de la operación que muestra la atención de la víctima. evadir la detección.
