- Η εκμετάλλευση του MysterySnail zero-day επηρεάζει αρνητικά τους πελάτες και τις εκδόσεις διακομιστή των Windows.
- Οι εταιρείες πληροφορικής, οι στρατιωτικοί και οι αμυντικοί οργανισμοί ήταν μεταξύ των μερών που επλήγησαν περισσότερο από το κακόβουλο λογισμικό.
- Ο IronHusky ήταν πίσω από την επίθεση στους διακομιστές.
Σύμφωνα με ερευνητές ασφαλείας, χρησιμοποιώντας ένα προνόμιο μηδενικής ανύψωσης ημέρας, οι Κινέζοι χάκερ μπόρεσαν να επιτεθούν σε εταιρείες πληροφορικής και εργολάβους άμυνας.
Με βάση τις πληροφορίες που συγκέντρωσαν οι ερευνητές της Kaspersky, μια ομάδα APT μπόρεσε να αξιοποιήσει μια ευπάθεια zero-day στο πρόγραμμα οδήγησης πυρήνα των Windows Win32K κατά την ανάπτυξη ενός νέου trojan RAT. Το zero-day exploit είχε πολλές συμβολοσειρές εντοπισμού σφαλμάτων από την προηγούμενη έκδοση, την ευπάθεια CVE-2016-3309. Μεταξύ Αυγούστου και Σεπτεμβρίου 2021, μερικοί διακομιστές της Microsoft δέχθηκαν επίθεση από το MysterySnail.
Η υποδομή Command and Control (C&C) είναι αρκετά παρόμοια με τον κώδικα που ανακαλύφθηκε. Από αυτή την υπόθεση οι ερευνητές μπόρεσαν να συνδέσουν τις επιθέσεις με την ομάδα χάκερ IronHusky. Μετά από περαιτέρω έρευνα, διαπιστώθηκε ότι παραλλαγές του exploit χρησιμοποιούνταν σε εκστρατείες μεγάλης κλίμακας. Αυτό αφορούσε κυρίως τους στρατιωτικούς και αμυντικούς οργανισμούς καθώς και τις εταιρείες πληροφορικής.
Ο αναλυτής ασφαλείας επαναλαμβάνει τα ίδια συναισθήματα που μοιράζονται οι ερευνητές της Kaspersky παρακάτω σχετικά με τις απειλές που θέτει ο IronHusky σε μεγάλες οντότητες που χρησιμοποιούν το κακόβουλο λογισμικό.
Ερευνητές στο @kaspersky μοιράζονται όσα γνωρίζουν για το #MysterySnail#αρουραίος μαζί μας. Μέσα από την ανάλυσή τους απέδωσαν το #κακόβουλο λογισμικό να απειλούν τους ηθοποιούς γνωστούς ως #IronHusky. https://t.co/kVt5QKS2YS#Κυβερνασφάλεια#ITSecurity#InfoSec#ThreatIntel#ThreatHunting#CVE202140449
— Lee Archinal (@ArchinalLee) 13 Οκτωβρίου 2021
Επίθεση MysterySnail
Το MysterySnail RAT αναπτύχθηκε για να επηρεάζει τους υπολογιστές-πελάτες των Windows και τις εκδόσεις διακομιστών, ειδικά από τα Windows 7 και τον Windows Server 2008 έως τις πιο πρόσφατες εκδόσεις. Αυτό περιλαμβάνει Windows 11 και Windows Server 2022. Σύμφωνα με αναφορές από την Kaspersky, το exploit στοχεύει κυρίως εκδόσεις πελατών των Windows. Ωστόσο, βρέθηκε κυρίως σε συστήματα Windows Server.
Με βάση τις πληροφορίες που συγκέντρωσαν οι ερευνητές, αυτή η ευπάθεια πηγάζει από την ικανότητα ρύθμισης επανακλήσεις σε λειτουργία χρήστη και εκτέλεση απροσδόκητων λειτουργιών API κατά την υλοποίηση αυτών ανακλήσεις. Σύμφωνα με τους ερευνητές, η εκτέλεση της συνάρτησης ResetDC για δεύτερη φορά ενεργοποιεί το σφάλμα. Αυτό ισχύει για την ίδια λαβή κατά την εκτέλεση της επανάκλησης.
Επηρεαστήκατε από την εκμετάλλευση του MysterySnail zero-day; Ενημερώστε μας στην παρακάτω ενότητα σχολίων.
