- Eksploitasi zero-day MysterySnail berdampak negatif pada Klien Windows dan Versi Server.
- Perusahaan IT, organisasi Militer dan Pertahanan termasuk di antara pihak-pihak yang paling terpengaruh oleh malware.
- IronHusky berada di balik serangan terhadap server.
Menurut peneliti keamanan, menggunakan eksploitasi hak elevasi zero-day, peretas China telah mampu menyerang perusahaan IT dan kontraktor pertahanan.
Berdasarkan informasi yang dikumpulkan oleh peneliti Kaspersky, grup APT mampu memanfaatkan kerentanan zero-day di driver kernel Windows Win32K dalam pengembangan trojan RAT baru. Eksploitasi zero-day memiliki banyak string debug dari versi sebelumnya, kerentanan CVE-2016-3309. Antara Agustus dan September 2021, beberapa server Microsoft diserang oleh MysterySnail.
Infrastruktur Command and Control (C&C) sangat mirip dengan kode yang ditemukan. Dari premis inilah para peneliti dapat menghubungkan serangan ke kelompok peretas IronHusky. Setelah penelitian lebih lanjut, ditetapkan bahwa varian eksploitasi sedang digunakan dalam kampanye skala besar. Ini terutama terhadap organisasi militer dan pertahanan serta perusahaan IT.
Analis keamanan mengulangi sentimen yang sama yang dibagikan oleh para peneliti dari Kaspersky di bawah ini tentang ancaman yang ditimbulkan oleh IronHusky terhadap entitas besar yang menggunakan malware.
Peneliti di @kaspersky berbagi apa yang mereka ketahui tentang #MisteriSiput#tikus bersama kami. Melalui analisis mereka, mereka menghubungkan #malware untuk mengancam aktor yang dikenal sebagai #IronHusky. https://t.co/kVt5QKS2YS#Keamanan cyber#ITKeamanan#InfoSec#AncamanIntel#Perburuan Ancaman#CVE202140449
— Lee Archinal (@ArchinalLee) 13 Oktober 2021
Misteri Serangan siput
MysterySnail RAT dikembangkan untuk mempengaruhi klien Windows dan versi server, khususnya dari Windows 7 dan Windows Server 2008 hingga versi terbaru. Ini termasuk Windows 11 dan Windows Server 2022. Menurut laporan dari Kaspersky, eksploitasi ini terutama menargetkan versi klien Windows. Namun demikian, itu sebagian besar ditemukan pada Sistem Server Windows.
Berdasarkan informasi yang dikumpulkan oleh peneliti, kerentanan ini berasal dari kemampuan untuk mengatur panggilan balik mode pengguna dan menjalankan fungsi API yang tidak terduga selama implementasi ini panggilan balik. Menurut peneliti, menjalankan fungsi ResetDC untuk kedua kalinya memicu bug. Ini untuk pegangan yang sama selama eksekusi panggilan baliknya.
Apakah Anda terpengaruh oleh eksploitasi zero-day MysterySnail? Beri tahu kami di bagian komentar di bawah.
