- Zneužívání MysterySnail zero-day negativně ovlivňuje klientské a serverové verze Windows.
- Mezi strany nejvíce postižené malwarem patřily IT společnosti, vojenské a obranné organizace.
- Za útokem na servery stál IronHusky.
Podle bezpečnostních výzkumníků byli čínští hackeři schopni zaútočit na IT společnosti a dodavatele obranného průmyslu s využitím nultého dne nadmořské výšky.
Na základě informací shromážděných výzkumníky společnosti Kaspersky dokázala skupina APT využít zranitelnost zero-day v ovladači jádra Windows Win32K při vývoji nového trojského koně RAT. Tento zero-day exploit měl spoustu ladicích řetězců z předchozí verze, zranitelnost CVE-2016-3309. Mezi srpnem a zářím 2021 bylo MysterySnail napadeno několik serverů společnosti Microsoft.
Infrastruktura Command and Control (C&C) je docela podobná objevenému kódu. Právě z tohoto předpokladu byli vědci schopni spojit útoky s hackerskou skupinou IronHusky. Po dalším výzkumu bylo zjištěno, že varianty exploitu byly používány ve velkých kampaních. To bylo hlavně proti armádě a obranným organizacím a také IT společnostem.
Bezpečnostní analytik opakuje stejné názory, které sdílejí výzkumníci z Kaspersky níže, ohledně hrozeb, které IronHusky představuje pro velké subjekty používající malware.
Výzkumníci v @kaspersky sdílet, co o nich vědí #MysterySnail#krysa s námi. Prostřednictvím své analýzy přisoudili #malware k ohrožení aktéry známé jako #IronHusky. https://t.co/kVt5QKS2YS#Kybernetická bezpečnost#ITBezpečnost#InfoSec#ThreatIntel#ThreatHunting#CVE202140449
— Lee Archinal (@ArchinalLee) 13. října 2021
MysterySnail útok
MysterySnail RAT byl vyvinut, aby ovlivnil verze klientů a serverů Windows, konkrétně od Windows 7 a Windows Server 2008 až po nejnovější verze. To zahrnuje Windows 11 a Windows Server 2022. Podle zpráv společnosti Kaspersky se exploit zaměřuje především na verze klientů Windows. Nicméně, to bylo převážně nalezeno na Windows Server Systems.
Na základě informací shromážděných výzkumníky tato zranitelnost pramení ze schopnosti nastavení zpětná volání v uživatelském režimu a spouštět neočekávané funkce API během jejich implementace zpětná volání. Podle výzkumníků spuštění funkce ResetDC podruhé spustí chybu. Toto je pro stejný popisovač během provádění jeho zpětného volání.
Ovlivnil vás zero-day exploit MysterySnail? Dejte nám vědět v sekci komentářů níže.
