- L'exploit zero-day de MysterySnail a un impact négatif sur les clients Windows et les versions serveur.
- Les sociétés informatiques, les organisations militaires et de défense ont été parmi les parties les plus touchées par le malware.
- IronHusky était à l'origine de l'attaque contre les serveurs.
Selon des chercheurs en sécurité, en utilisant un exploit de privilège d'élévation du jour zéro, des pirates chinois ont pu attaquer des sociétés informatiques et des sous-traitants de la défense.
Sur la base des informations recueillies par les chercheurs de Kaspersky, un groupe APT a pu exploiter une vulnérabilité zero-day dans le pilote du noyau Windows Win32K dans le développement d'un nouveau cheval de Troie RAT. L'exploit zero-day avait beaucoup de chaînes de débogage de la version précédente, la vulnérabilité CVE-2016-3309. Entre août et septembre 2021, quelques serveurs Microsoft ont été attaqués par MysterySnail.
L'infrastructure de commande et de contrôle (C&C) est assez similaire au code découvert. C'est à partir de cette prémisse que les chercheurs ont pu relier les attaques au groupe de pirates IronHusky. Après des recherches plus poussées, il a été établi que des variantes de l'exploit étaient utilisées dans des campagnes à grande échelle. C'était principalement contre les organisations militaires et de défense ainsi que les entreprises informatiques.
L'analyste de sécurité réitère les mêmes sentiments partagés par les chercheurs de Kaspersky ci-dessous sur les menaces posées par IronHusky aux grandes entités utilisant le malware.
Les chercheurs de @kaspersky partager ce qu'ils savent de la #MysterySnail#rat avec nous. Par leur analyse, ils ont attribué la #malware aux acteurs menaçants connus sous le nom de #IronHusky. https://t.co/kVt5QKS2YS#La cyber-sécurité#Sécurité informatique#InfoSec#ThreatIntel#Chasse à la Menace#CVE202140449
– Lee Archinal (@ArchinalLee) 13 octobre 2021
Attaque d'escargot mystère
MysterySnail RAT a été développé pour affecter les clients Windows et les versions de serveur, en particulier de Windows 7 et Windows Server 2008 jusqu'aux dernières versions. Ceci comprend Windows 11 et Windows Serveur 2022. Selon les rapports de Kaspersky, l'exploit cible principalement les versions clientes Windows. Néanmoins, il a été principalement trouvé sur les systèmes Windows Server.
D'après les informations recueillies par les chercheurs, cette vulnérabilité découle de la capacité de définir rappels en mode utilisateur et exécuter des fonctions API inattendues lors de la mise en œuvre de ces rappels. Selon les chercheurs, l'exécution de la fonction ResetDC une deuxième fois déclenche le bogue. C'est pour le même handle lors de l'exécution de son rappel.
Avez-vous été affecté par l'exploit zero-day de MysterySnail? Faites-nous savoir dans la section commentaire ci-dessous.
