- Der Zero-Day-Exploit von MysterySnail wirkt sich negativ auf Windows-Clients und Serverversionen aus.
- IT-Unternehmen, Militär- und Verteidigungsorganisationen gehörten zu den am stärksten von der Malware betroffenen Parteien.
- IronHusky steckte hinter dem Angriff auf die Server.
Laut Sicherheitsforschern konnten chinesische Hacker mithilfe eines Zero-Day-Elevation-Privileg-Exploits IT-Unternehmen und Rüstungsunternehmen angreifen.
Basierend auf den Informationen von Kaspersky-Forschern konnte eine APT-Gruppe eine Zero-Day-Schwachstelle im Windows-Kerneltreiber Win32K bei der Entwicklung eines neuen RAT-Trojaners ausnutzen. Der Zero-Day-Exploit hatte viele Debug-Strings aus der vorherigen Version, die Schwachstelle CVE-2016-3309. Zwischen August und September 2021 wurden einige Microsoft-Server von MysterySnail angegriffen.
Die Command and Control (C&C)-Infrastruktur ist dem entdeckten Code sehr ähnlich. Unter dieser Prämisse konnten die Forscher die Angriffe mit der Hackergruppe IronHusky in Verbindung bringen. Bei weiteren Recherchen wurde festgestellt, dass Varianten des Exploits in groß angelegten Kampagnen eingesetzt wurden. Dies richtete sich vor allem gegen Militär- und Verteidigungsorganisationen sowie IT-Unternehmen.
Der Sicherheitsanalyst wiederholt die gleichen Ansichten, die von den Forschern von Kaspersky weiter unten zu den Bedrohungen durch IronHusky für große Unternehmen, die die Malware verwenden, geteilt werden.
Forscher bei @kaspersky teilen, was sie über die wissen #Geheimnisschnecke#Ratte mit uns. Durch ihre Analyse schrieben sie die #malware um Akteure zu bedrohen, bekannt als #IronHusky. https://t.co/kVt5QKS2YS#Onlinesicherheit#IT Sicherheit#InfoSec#ThreatIntel#ThreatJagd#CVE202140449
— Lee Archinal (@ArchinalLee) 13. Oktober 2021
MysterySnail-Angriff
MysterySnail RAT wurde entwickelt, um Windows-Clients und -Serverversionen zu betreffen, insbesondere von Windows 7 und dem Windows Server 2008 bis hin zu den neuesten Versionen. Das beinhaltet Windows 11 und Windows Server 2022. Laut Berichten von Kaspersky zielt der Exploit hauptsächlich auf Windows-Clientversionen ab. Dennoch wurde es überwiegend auf Windows Server-Systemen gefunden.
Basierend auf den von Forschern gesammelten Informationen ergibt sich diese Schwachstelle aus der Fähigkeit, Benutzermodus-Callbacks und Ausführen unerwarteter API-Funktionen während der Implementierung dieser Rückrufe. Laut Forschern löst die zweite Ausführung der ResetDC-Funktion den Fehler aus. Dies gilt für dasselbe Handle während der Ausführung seines Callbacks.
Waren Sie vom Zero-Day-Exploit von MysterySnail betroffen? Lassen Sie es uns im Kommentarbereich unten wissen.
