- يؤثر استغلال MysterySnail في اليوم صفر سلبًا على عملاء Windows وإصدارات الخادم.
- كانت شركات تكنولوجيا المعلومات والمؤسسات العسكرية والدفاعية من بين الأطراف الأكثر تضررًا من البرامج الضارة.
- كان IronHusky وراء الهجوم على الخوادم.
وفقًا للباحثين الأمنيين ، باستخدام استغلال امتياز الارتفاع في يوم الصفر ، تمكن المتسللون الصينيون من مهاجمة شركات تكنولوجيا المعلومات ومقاولي الدفاع.
استنادًا إلى المعلومات التي جمعها باحثو كاسبرسكي ، تمكنت مجموعة APT من الاستفادة من ثغرة يوم الصفر في برنامج تشغيل نواة Windows Win32K في تطوير حصان طروادة RAT جديد. ثغرة يوم الصفر تحتوي على الكثير من سلاسل التصحيح من الإصدار السابق ، الثغرة الأمنية CVE-2016-3309. بين أغسطس وسبتمبر 2021 ، تعرض اثنين من خوادم مايكروسوفت لهجوم من قبل MysterySnail.
البنية التحتية للقيادة والتحكم (C&C) تشبه إلى حد بعيد الكود المكتشف. من هذا المنطلق تمكن الباحثون من ربط الهجمات بمجموعة الهاكرز IronHusky. بعد إجراء مزيد من البحث ، تم التأكد من استخدام متغيرات برمجية إكسبلويت في حملات واسعة النطاق. كان هذا بشكل أساسي ضد المؤسسات العسكرية والدفاعية وكذلك شركات تكنولوجيا المعلومات.
يكرر المحلل الأمني نفس المشاعر التي شاركها باحثون من Kaspersky أدناه حول التهديدات التي يشكلها IronHusky للكيانات الكبيرة التي تستخدم البرامج الضارة.
الباحثون في تضمين التغريدة مشاركة ما يعرفونه عن # حلزوني#جرذ معنا. من خلال تحليلهم نسبوا # البرامج الضارة لتهديد الجهات الفاعلة المعروفة باسم #IronHusky. https://t.co/kVt5QKS2YS#الأمن الإلكتروني#أمن تكنولوجيا المعلومات#أمن المعلومات#ThreatIntel#ThreatHunting# CVE202140449
- لي أرشينال (ArchinalLee) 13 أكتوبر 2021
الغموض هجوم الحلزون
تم تطوير MysterySnail RAT للتأثير على عملاء Windows وإصدارات الخادم ، وتحديداً من Windows 7 و Windows Server 2008 حتى أحدث الإصدارات. هذا يشمل Windows 11 و Windows Server 2022. وفقًا لتقارير من Kaspersky ، فإن الاستغلال يستهدف بشكل أساسي إصدارات عميل Windows. ومع ذلك ، تم العثور عليه في الغالب على أنظمة Windows Server.
استنادًا إلى المعلومات التي جمعها الباحثون ، تنبع هذه الثغرة من القدرة على الضبط عمليات الاسترجاعات في وضع المستخدم وتنفيذ وظائف واجهة برمجة التطبيقات غير المتوقعة أثناء تنفيذ هذه عمليات الاسترجاعات. وفقًا للباحثين ، يؤدي تنفيذ وظيفة ResetDC مرة ثانية إلى تشغيل الخطأ. هذا لنفس المقبض أثناء تنفيذ رد الاتصال الخاص به.
هل تأثرت باستغلال MysterySnail Zero-Day؟ أخبرنا في قسم التعليقات أدناه.
