Kaspersky o dopadu MysterySnail na Windows.

  • Zneužívání MysterySnail zero-day negativně ovlivňuje klientské a serverové verze Windows.
  • Mezi strany nejvíce postižené malwarem patřily IT společnosti, vojenské a obranné organizace.
  • Za útokem na servery stál IronHusky.

Podle bezpečnostních výzkumníků byli čínští hackeři schopni zaútočit na IT společnosti a dodavatele obranného průmyslu s využitím nultého dne nadmořské výšky.

Na základě informací shromážděných výzkumníky společnosti Kaspersky dokázala skupina APT využít zranitelnost zero-day v ovladači jádra Windows Win32K při vývoji nového trojského koně RAT. Tento zero-day exploit měl spoustu ladicích řetězců z předchozí verze, zranitelnost CVE-2016-3309. Mezi srpnem a zářím 2021 bylo MysterySnail napadeno několik serverů společnosti Microsoft.

Infrastruktura Command and Control (C&C) je docela podobná objevenému kódu. Právě z tohoto předpokladu byli vědci schopni spojit útoky s hackerskou skupinou IronHusky. Po dalším výzkumu bylo zjištěno, že varianty exploitu byly používány ve velkých kampaních. To bylo hlavně proti armádě a obranným organizacím a také IT společnostem.

Bezpečnostní analytik opakuje stejné názory, které sdílejí výzkumníci z Kaspersky níže, ohledně hrozeb, které IronHusky představuje pro velké subjekty používající malware.

Výzkumníci v @kaspersky sdílet, co o nich vědí #MysterySnail#krysa s námi. Prostřednictvím své analýzy přisoudili #malware k ohrožení aktéry známé jako #IronHusky. https://t.co/kVt5QKS2YS#Kybernetická bezpečnost#ITBezpečnost#InfoSec#ThreatIntel#ThreatHunting#CVE202140449

— Lee Archinal (@ArchinalLee) 13. října 2021

MysterySnail útok

MysterySnail RAT byl vyvinut, aby ovlivnil verze klientů a serverů Windows, konkrétně od Windows 7 a Windows Server 2008 až po nejnovější verze. To zahrnuje Windows 11 a Windows Server 2022. Podle zpráv společnosti Kaspersky se exploit zaměřuje především na verze klientů Windows. Nicméně, to bylo převážně nalezeno na Windows Server Systems.

Na základě informací shromážděných výzkumníky tato zranitelnost pramení ze schopnosti nastavení zpětná volání v uživatelském režimu a spouštět neočekávané funkce API během jejich implementace zpětná volání. Podle výzkumníků spuštění funkce ResetDC podruhé spustí chybu. Toto je pro stejný popisovač během provádění jeho zpětného volání.

Ovlivnil vás zero-day exploit MysterySnail? Dejte nám vědět v sekci komentářů níže.

Spravujte úkoly a projekty ve Windows 8, Windows 10 s aplikací Telerik

Spravujte úkoly a projekty ve Windows 8, Windows 10 s aplikací TelerikRůzné

Chcete-li vyřešit různé problémy s počítačem, doporučujeme nástroj Restoro PC Repair Tool:Tento software opraví běžné chyby počítače, ochrání vás před ztrátou souborů, malwarem, selháním hardwaru a...

Přečtěte si více
Windows 10 build 17643 přináší nepřeberné množství chyb

Windows 10 build 17643 přináší nepřeberné množství chybRůzné

Microsoft zavedl Windows 10 verze 1803 pro širokou veřejnost jen před pár dny, ale vypadá to, že ji uvítala chyba, která skončila zadržování tohoto dlouho očekávaného vydání.Na společnost to nejeví...

Přečtěte si více
Secure Digital: vše, co potřebujete vědět o jeho technologii

Secure Digital: vše, co potřebujete vědět o jeho technologiiRůzné

Časově úsporné znalosti softwaru a hardwaru, které pomáhají 200 milionům uživatelů ročně. Poskytne vám rady, novinky a tipy, jak upgradovat svůj technický život.Chcete-li vyřešit různé problémy s p...

Přečtěte si více