- Експлойтът с нулев ден на MysterySnail оказва негативно влияние върху клиентите и сървърните версии на Windows.
- ИТ компаниите, военните и отбранителните организации бяха сред най-засегнатите от зловредния софтуер страни.
- IronHusky стои зад атаката срещу сървърите.
Според изследователи по сигурността, използвайки експлоатиране на привилегии за нулев ден, китайските хакери са успели да атакуват ИТ компании и изпълнители на отбрана.
Въз основа на информацията, събрана от изследователи на Kaspersky, APT група успя да използва уязвимост от нулев ден в драйвера на ядрото на Windows Win32K при разработването на нов RAT троянски кон. Експлойтът с нулев ден имаше много низове за отстраняване на грешки от предишната версия, уязвимостта CVE-2016-3309. Между август и септември 2021 г. няколко сървъра на Microsoft бяха атакувани от MysterySnail.
Инфраструктурата за управление и контрол (C&C) е доста подобна на открития код. Именно от тази предпоставка изследователите успяха да свържат атаките с хакерската група IronHusky. При по-нататъшни проучвания беше установено, че варианти на експлойта се използват в мащабни кампании. Това беше основно срещу военните и отбранителните организации, както и ИТ компаниите.
Анализаторът по сигурността повтаря същите настроения, споделени от изследователи от Kaspersky по-долу относно заплахите, отправени от IronHusky към големи субекти, използващи злонамерения софтуер.
Изследователи в @kaspersky споделят какво знаят за #МистерияОхлюв#плъх с нас. Чрез своя анализ те приписват на #зловреден софтуер на заплашващи актьори, известни като #IronHusky. https://t.co/kVt5QKS2YS#Кибер защита#ITSecurity#InfoSec#ThreatIntel#Лов на заплахи#CVE202140449
— Ли Архинал (@ArchinalLee) 13 октомври 2021 г
Атака на MysterySnail
MysterySnail RAT е разработен, за да засегне Windows клиенти и сървърни версии, по-специално от Windows 7 и Windows Server 2008 до най-новите версии. Това включва Windows 11 и Windows Server 2022. Според доклади на Kaspersky, експлойтът е насочен главно към клиентски версии на Windows. Независимо от това, той се намира предимно в Windows Server Systems.
Въз основа на информацията, събрана от изследователите, тази уязвимост произтича от способността за задаване обратни извиквания в потребителски режим и изпълнение на неочаквани функции на API по време на тяхното изпълнение обратни повиквания. Според изследователите, изпълнението на функцията ResetDC за втори път задейства грешката. Това е за същия манипулатор по време на изпълнението на неговото обратно извикване.
Бяхте ли засегнати от експлоата с нулев ден на MysterySnail? Уведомете ни в секцията за коментари по-долу.
![PC che Passa Automaticamente al BIOS all'Avvio [Correzioni]](/f/8ae7468315d966f1ce12dc0f3642676b.png?width=300&height=460)
