Kaspersky sull'impatto di MysterySnail su Windows.

  • L'exploit zero-day di MysterySnail ha un impatto negativo sui client Windows e sulle versioni server.
  • Le aziende IT, le organizzazioni militari e della difesa sono state tra le parti più colpite dal malware.
  • IronHusky era dietro l'attacco ai server.

Secondo i ricercatori della sicurezza, utilizzando un exploit del privilegio di elevazione zero-day, gli hacker cinesi sono stati in grado di attaccare aziende IT e appaltatori della difesa.

Sulla base delle informazioni raccolte dai ricercatori di Kaspersky, un gruppo APT è stato in grado di sfruttare una vulnerabilità zero-day nel driver del kernel Windows Win32K nello sviluppo di un nuovo trojan RAT. L'exploit zero-day aveva molte stringhe di debug dalla versione precedente, la vulnerabilità CVE-2016-3309. Tra agosto e settembre 2021, un paio di server Microsoft sono stati attaccati da MysterySnail.

L'infrastruttura di comando e controllo (C&C) è abbastanza simile al codice scoperto. È da questa premessa che i ricercatori sono stati in grado di collegare gli attacchi al gruppo di hacker IronHusky. Dopo ulteriori ricerche, è stato stabilito che le varianti dell'exploit venivano utilizzate in campagne su larga scala. Ciò era principalmente contro le organizzazioni militari e di difesa, nonché le società informatiche.

L'analista della sicurezza ribadisce gli stessi sentimenti condivisi dai ricercatori di Kaspersky di seguito sulle minacce poste da IronHusky alle grandi entità che utilizzano il malware.

Ricercatori presso @kaspersky condividere ciò che sanno sul #MysterySnail#ratto con noi. Attraverso la loro analisi hanno attribuito il #malware ad attori di minacce noti come #IronHusky. https://t.co/kVt5QKS2YS#CyberSicurezza#ITSecurity#InfoSec#ThreatIntel#Caccia alla minaccia#CVE202140449

— Lee Archinal (@ArchinalLee) 13 ottobre 2021

MisteroAttacco di lumaca

MysterySnail RAT è stato sviluppato per influenzare i client Windows e le versioni server, in particolare da Windows 7 e Windows Server 2008 fino alle ultime versioni. Ciò comprende Windows 11 e Windows Server 2022. Secondo i rapporti di Kaspersky, l'exploit si rivolge principalmente alle versioni client di Windows. Tuttavia, è stato trovato principalmente su sistemi Windows Server.

Sulla base delle informazioni raccolte dai ricercatori, questa vulnerabilità deriva dalla capacità di impostare callback in modalità utente ed eseguire funzioni API impreviste durante l'implementazione di queste richiamate. Secondo i ricercatori, l'esecuzione della funzione ResetDC una seconda volta attiva il bug. Questo è per lo stesso handle durante l'esecuzione del suo callback.

Sei stato colpito dall'exploit zero-day di MysterySnail? Fatecelo sapere nella sezione commenti qui sotto.

Microsoft Graph collega il tuo PC Windows 10 e il telefono Android/iOS

Microsoft Graph collega il tuo PC Windows 10 e il telefono Android/iOSVarie

Microsoft Graph, una tecnologia che connette tutti i tuoi dispositivi, arriverà insieme al Aggiornamento dei creatori autunnali di Windows 10. Come endpoint API per l'accesso ai dati in Microsoft C...

Leggi di più
Correzione: se le tue app di Windows sono "non installate correttamente"

Correzione: se le tue app di Windows sono "non installate correttamente"Varie

Molti utenti segnalano di aver ricevuto il Errore non installato correttamente quando si tenta di aprire determinate app in Windows 10.Ti mostreremo in questo articolo quali passaggi puoi eseguire ...

Leggi di più
Gli aggiornamenti recenti di Office 365 causano il blocco di Outlook?

Gli aggiornamenti recenti di Office 365 causano il blocco di Outlook?Varie

Outlook funziona bene per te? Se la risposta è positiva, sei fortunato. Perché a quanto pare, non funziona come previsto per tutti. E quel che è peggio, non sappiamo quale sia esattamente la causa ...

Leggi di più