Η Kaspersky σχετικά με τον αντίκτυπο του MysterySnail στα Windows.

  • Η εκμετάλλευση του MysterySnail zero-day επηρεάζει αρνητικά τους πελάτες και τις εκδόσεις διακομιστή των Windows.
  • Οι εταιρείες πληροφορικής, οι στρατιωτικοί και οι αμυντικοί οργανισμοί ήταν μεταξύ των μερών που επλήγησαν περισσότερο από το κακόβουλο λογισμικό.
  • Ο IronHusky ήταν πίσω από την επίθεση στους διακομιστές.

Σύμφωνα με ερευνητές ασφαλείας, χρησιμοποιώντας ένα προνόμιο μηδενικής ανύψωσης ημέρας, οι Κινέζοι χάκερ μπόρεσαν να επιτεθούν σε εταιρείες πληροφορικής και εργολάβους άμυνας.

Με βάση τις πληροφορίες που συγκέντρωσαν οι ερευνητές της Kaspersky, μια ομάδα APT μπόρεσε να αξιοποιήσει μια ευπάθεια zero-day στο πρόγραμμα οδήγησης πυρήνα των Windows Win32K κατά την ανάπτυξη ενός νέου trojan RAT. Το zero-day exploit είχε πολλές συμβολοσειρές εντοπισμού σφαλμάτων από την προηγούμενη έκδοση, την ευπάθεια CVE-2016-3309. Μεταξύ Αυγούστου και Σεπτεμβρίου 2021, μερικοί διακομιστές της Microsoft δέχθηκαν επίθεση από το MysterySnail.

Η υποδομή Command and Control (C&C) είναι αρκετά παρόμοια με τον κώδικα που ανακαλύφθηκε. Από αυτή την υπόθεση οι ερευνητές μπόρεσαν να συνδέσουν τις επιθέσεις με την ομάδα χάκερ IronHusky. Μετά από περαιτέρω έρευνα, διαπιστώθηκε ότι παραλλαγές του exploit χρησιμοποιούνταν σε εκστρατείες μεγάλης κλίμακας. Αυτό αφορούσε κυρίως τους στρατιωτικούς και αμυντικούς οργανισμούς καθώς και τις εταιρείες πληροφορικής.

Ο αναλυτής ασφαλείας επαναλαμβάνει τα ίδια συναισθήματα που μοιράζονται οι ερευνητές της Kaspersky παρακάτω σχετικά με τις απειλές που θέτει ο IronHusky σε μεγάλες οντότητες που χρησιμοποιούν το κακόβουλο λογισμικό.

Ερευνητές στο @kaspersky μοιράζονται όσα γνωρίζουν για το #MysterySnail#αρουραίος μαζί μας. Μέσα από την ανάλυσή τους απέδωσαν το #κακόβουλο λογισμικό να απειλούν τους ηθοποιούς γνωστούς ως #IronHusky. https://t.co/kVt5QKS2YS#Κυβερνασφάλεια#ITSecurity#InfoSec#ThreatIntel#ThreatHunting#CVE202140449

— Lee Archinal (@ArchinalLee) 13 Οκτωβρίου 2021

Επίθεση MysterySnail

Το MysterySnail RAT αναπτύχθηκε για να επηρεάζει τους υπολογιστές-πελάτες των Windows και τις εκδόσεις διακομιστών, ειδικά από τα Windows 7 και τον Windows Server 2008 έως τις πιο πρόσφατες εκδόσεις. Αυτό περιλαμβάνει Windows 11 και Windows Server 2022. Σύμφωνα με αναφορές από την Kaspersky, το exploit στοχεύει κυρίως εκδόσεις πελατών των Windows. Ωστόσο, βρέθηκε κυρίως σε συστήματα Windows Server.

Με βάση τις πληροφορίες που συγκέντρωσαν οι ερευνητές, αυτή η ευπάθεια πηγάζει από την ικανότητα ρύθμισης επανακλήσεις σε λειτουργία χρήστη και εκτέλεση απροσδόκητων λειτουργιών API κατά την υλοποίηση αυτών ανακλήσεις. Σύμφωνα με τους ερευνητές, η εκτέλεση της συνάρτησης ResetDC για δεύτερη φορά ενεργοποιεί το σφάλμα. Αυτό ισχύει για την ίδια λαβή κατά την εκτέλεση της επανάκλησης.

Επηρεαστήκατε από την εκμετάλλευση του MysterySnail zero-day; Ενημερώστε μας στην παρακάτω ενότητα σχολίων.

Πώς να αφαιρέσετε το TikTok στα Windows 11

Πώς να αφαιρέσετε το TikTok στα Windows 11Miscellanea

Η κατάργηση του TikTok από τον υπολογιστή σας με Windows 11 είναι τόσο εύκολη όσο το να κόψετε τα δάχτυλά σας.Ευτυχώς, το λειτουργικό σύστημα μας δίνει πολλούς τρόπους για να απεγκαταστήσουμε προγρ...

Διαβάστε περισσότερα
Η νέα γραμμή ελεγκτή Xbox δοκιμάζεται από τα Windows 11 και το Xbox Insiders

Η νέα γραμμή ελεγκτή Xbox δοκιμάζεται από τα Windows 11 και το Xbox InsidersMiscellanea

Μπορεί να το σκεφτείς Windows 11 Build 22616 εστίασε μόνο στη γραμμή εργασιών και σε υπάρχοντα σφάλματα.Ωστόσο, η Microsoft διέλυσε επίσης μια συναρπαστική νέα δυνατότητα παιχνιδιού στην τελευταία ...

Διαβάστε περισσότερα
Τα Windows δεν μπορούν να λάβουν τις ρυθμίσεις δικτύου από το δρομολογητή [7 διορθώσεις]

Τα Windows δεν μπορούν να λάβουν τις ρυθμίσεις δικτύου από το δρομολογητή [7 διορθώσεις]Miscellanea

Ένα Windows που δεν μπορούν να λάβουν τις ρυθμίσεις δικτύου από το δρομολογητή μπορεί να είναι ένα απογοητευτικό και χρονοβόρο ζήτημα. Επηρεάζει την ικανότητά σας να συνδεθείτε στον δρομολογητή σας...

Διαβάστε περισσότερα