Kaspersky om virkningen af ​​MysterySnail på Windows.

  • MysterySnail zero-day-udnyttelsen påvirker Windows-klienter og serverversioner negativt.
  • IT-virksomheder, militær- og forsvarsorganisationer var blandt de parter, der var mest berørt af malwaren.
  • IronHusky stod bag angrebet på serverne.

Ifølge sikkerhedsforskere har kinesiske hackere ved hjælp af en nul-dages elevationsprivilegium været i stand til at angribe it-virksomheder og forsvarsentreprenører.

Baseret på oplysningerne indsamlet af Kaspersky-forskere var en APT-gruppe i stand til at udnytte en nul-dages sårbarhed i Windows Win32K-kernedriveren i udviklingen af ​​en ny RAT-trojan. Zero-day exploiten havde masser af debug-strenge fra den tidligere version, CVE-2016-3309 sårbarheden. Mellem august og september 2021 blev et par Microsoft-servere angrebet af MysterySnail.

Command and Control (C&C) infrastruktur er ret lig den opdagede kode. Det er ud fra denne præmis, at forskere var i stand til at knytte angrebene til IronHusky-hackergruppen. Efter yderligere forskning blev det fastslået, at varianter af udnyttelsen blev brugt i store kampagner. Dette var hovedsageligt mod militæret og forsvarsorganisationer samt it-virksomheder.

Sikkerhedsanalytikeren gentager de samme følelser, som forskere fra Kaspersky deler nedenfor om truslerne fra IronHusky mod store enheder, der bruger malwaren.

Forskere ved @kaspersky dele, hvad de ved om #MysterySnail#rotte med os. Gennem deres analyse tilskrev de #malware til trussel aktører kendt som #IronHusky. https://t.co/kVt5QKS2YS#Cybersikkerhed#ITSikkerhed#InfoSec#ThreatIntel#Trusselsjagt#CVE202140449

— Lee Archinal (@ArchinalLee) 13. oktober 2021

MysterySnail angreb

MysterySnail RAT blev udviklet til at påvirke Windows-klienter og serverversioner, specifikt fra Windows 7 og Windows Server 2008 op til de nyeste versioner. Dette inkluderer Windows 11 og Windows Server 2022. Ifølge rapporter fra Kaspersky er udnyttelsen hovedsageligt rettet mod Windows-klientversioner. Ikke desto mindre blev det overvejende fundet på Windows Server Systems.

Baseret på oplysningerne indsamlet af forskere, stammer denne sårbarhed fra evnen til at indstille bruger-mode tilbagekald og eksekvere uventede API-funktioner under implementeringen af ​​disse tilbagekald. Ifølge forskere udløser fejlen, hvis du udfører ResetDC-funktionen en anden gang. Dette er for det samme håndtag under udførelsen af ​​dets tilbagekald.

Blev du påvirket af MysterySnail zero-day udnyttelsen? Fortæl os det i kommentarfeltet nedenfor.

FIX: Shell Infrastructure Host er stoppet med at arbejde

FIX: Shell Infrastructure Host er stoppet med at arbejdeMiscellanea

At støde på problemer med Shell Infrastructure Host betyder, at du ikke kan bruge din pc normalt.Reparation af Visual C ++ Redistributable er en hurtig løsning på dette problem. Se den følgende art...

Læs mere
Igfxtray.exe: Hvad er det, og skal du deaktivere det?

Igfxtray.exe: Hvad er det, og skal du deaktivere det?Miscellanea

Der er alle mulige filer på din computer, og nogle brugere er lidt mistænkelige, når det kommer til ukendte filer.En af disse filer er Igfxtray, og i dagens artikel vil vi se nærmere på og se, hvad...

Læs mere
Top 5 Antivirenprogramme mit Kindersicherungsfunktion

Top 5 Antivirenprogramme mit KindersicherungsfunktionMiscellanea

Ein gutes Antivirenprogramm mit Kindersicherung schützt Ihre Kinder vor den störenden Inhalten.Wir haben eine Software integriert, mit der Sie die Aktivitätspläne auf dem Gerät Ihres Kindes festleg...

Læs mere