TunnelSnakeのMoriya

キャンペーンが進行しているそうです。
キャンペーンの名前はTunnelSnakeです。
TunnelSnakeでは、これまで未確認だった新しいルートキットが使用されています。
Moriyaです。

このMoriya、こんな感じです。

  • Windowsカーネルから送信される通信を傍受し、悪意のあるパケットがOS部分に処理される前に抜き取ります。
    だから、セキュリティ対策機能による検出ができません。
  • コマンドアンドコントロールへの通信を行いません。
    だから、セキュリティ対策機能による検出ができませんし、コマンドアンドコントロールの維持も必要ありません。

こんなことができてしまうのですね。驚きです。
こんな特徴があるため、このルートキットは非常に見つかりにくいものとなっています。

この危ないルートキットは、今回はターゲット組織内の脆弱なWebサーバへの侵害を通じて展開されています。
攻撃対象ネットワークの少しのほころびを悪用し、入り込んできます。

不要なファイルを開かなくするというような人間の部分の対策も引き続き重要ですが、脆弱な状態のソフトウェアをパッチ適用で改善する取り組みの重要性も改めて高くなってきていると感じます。
攻撃者が使用する攻撃部品は日々改善され新しいものが生まれてきていますので、完全に安全な状態を実現することは難しいかもしれません。
しかし、できる限りわかっているほころびに対策していくことならできそうな気がします。

参考記事(外部リンク):Operation TunnelSnake: Formerly unknown rootkit used to secretly control networks in Asia and Africa
usa.kaspersky.com/about/press-releases/2021_operation-tunnel-snake-formerly-unknown-rootkit-used-to-secretly-control-networks-in-asia-and-africa