22.04.2021 Новости, Безопасность«Лаборатория Касперского» сообщила, что обнаружила кампанию кибершпионажа TunnelSnake, которая ведется с 2019 г. и направлена на дипломатические представительства в Азии и Африке. В ней применяется ранее неизвестный руткит. Программа, получившая название Moriya, позволяет совершать практически любые действия в ОС, проникать в сетевой трафик и маскировать вредоносные команды, отправляемые на зараженные устройства. С помощью Moriya злоумышленники несколько месяцев тайно контролировали сети жертв. Руткиты известны своим умением скрываться благодаря способности проникать в саму структуру ОС. Компания Microsoft разрабатывает меры, которые затрудняют успешное развертывание и работу руткитов, особенно в ядре, и теперь большинство руткитов под Windows используются в сложных целевых атаках, таких как TunnelSnake. Эксперты «Лаборатории Касперского» начали расследование, когда получили от защитных продуктов уведомления об обнаружении уникального руткита внутри сетей компаний-жертв. Он умеет скрываться особенно хорошо благодаря двум особенностям. Во-первых, руткит проникает в сетевые пакеты и проверяет их из пространства адресов ядра Windows – той области памяти, где обычно работает только привилегированный и доверенный код. Это позволяло ему отправлять уникальные вредоносные пакеты до их обработки сетевым стеком ОС и, как следствие, избегать детектирования защитными решениями. Во-вторых, руткиту не приходилось обращаться к серверу за командами, как обычно происходит с ...
читать далее.