- A MysterySnail nulladik napi kihasználása negatív hatással van a Windows kliensekre és a kiszolgálóverziókra.
- Az informatikai cégek, a katonai és védelmi szervezetek voltak a kártevő által leginkább érintett felek között.
- IronHusky állt a szerverek elleni támadás mögött.
Biztonsági kutatók szerint a kínai hackerek egy nulladik napos emelési privilégium kihasználásával IT-cégeket és védelmi vállalkozókat tudtak megtámadni.
A Kaspersky kutatói által összegyűjtött információk alapján egy APT-csoport egy új RAT trójai fejlesztése során a Windows Win32K kernel-illesztőprogram nulladik napi sebezhetőségét tudta kihasználni. A zero-day exploit rengeteg hibakereső karakterláncot tartalmazott az előző verzióból, a CVE-2016-3309 biztonsági rést. 2021 augusztusa és szeptembere között néhány Microsoft szervert megtámadt a MysterySnail.
A Command and Control (C&C) infrastruktúra nagyon hasonló a felfedezett kódhoz. Ebből a feltevésből kiindulva tudták a kutatók a támadásokat az IronHusky hackercsoporthoz kötni. A további kutatások során megállapították, hogy a kizsákmányolás változatait nagyszabású kampányokban használták. Ez elsősorban a katonai és védelmi szervezetek, valamint az informatikai cégek ellen irányult.
A biztonsági elemző megismétli ugyanazokat az érzéseket, amelyeket a Kaspersky kutatói osztottak alább az IronHusky által a kártevőt használó nagy entitások számára jelentett fenyegetésekkel kapcsolatban.
Kutatók a @kaspersky megosztani, amit tudnak a #MysterySnail#patkány velünk. Elemzésükkel tulajdonították a #rosszindulatú néven ismert szereplőknek #IronHusky. https://t.co/kVt5QKS2YS#Kiberbiztonság#ITBiztonság#InfoSec#ThreatIntel#ThreatHunting#CVE202140449
– Lee Archinal (@ArchinalLee) 2021. október 13
MysterySnail támadás
A MysterySnail RAT-ot úgy fejlesztették ki, hogy hatással legyen a Windows kliensekre és kiszolgálóverziókra, különösen a Windows 7-től és a Windows Server 2008-tól a legújabb verziókig. Ebbe beletartozik Windows 11 és Windows Server 2022. A Kaspersky jelentései szerint a kihasználás elsősorban a Windows kliensverzióit célozza meg. Ennek ellenére túlnyomórészt Windows Server rendszereken volt megtalálható.
A kutatók által gyűjtött információk alapján ez a sérülékenység a beállítási képességből fakad felhasználói módú visszahívásokat és váratlan API-funkciókat hajt végre ezek megvalósítása során visszahívások. A kutatók szerint a ResetDC funkció másodszori végrehajtása váltja ki a hibát. Ez ugyanarra a leíróra vonatkozik a visszahívás végrehajtása során.
Hatással volt rád a MysterySnail nulladik napi exploitja? Tudassa velünk az alábbi megjegyzés szakaszban.
