- L'exploit zero-day di MysterySnail ha un impatto negativo sui client Windows e sulle versioni server.
- Le aziende IT, le organizzazioni militari e della difesa sono state tra le parti più colpite dal malware.
- IronHusky era dietro l'attacco ai server.
Secondo i ricercatori della sicurezza, utilizzando un exploit del privilegio di elevazione zero-day, gli hacker cinesi sono stati in grado di attaccare aziende IT e appaltatori della difesa.
Sulla base delle informazioni raccolte dai ricercatori di Kaspersky, un gruppo APT è stato in grado di sfruttare una vulnerabilità zero-day nel driver del kernel Windows Win32K nello sviluppo di un nuovo trojan RAT. L'exploit zero-day aveva molte stringhe di debug dalla versione precedente, la vulnerabilità CVE-2016-3309. Tra agosto e settembre 2021, un paio di server Microsoft sono stati attaccati da MysterySnail.
L'infrastruttura di comando e controllo (C&C) è abbastanza simile al codice scoperto. È da questa premessa che i ricercatori sono stati in grado di collegare gli attacchi al gruppo di hacker IronHusky. Dopo ulteriori ricerche, è stato stabilito che le varianti dell'exploit venivano utilizzate in campagne su larga scala. Ciò era principalmente contro le organizzazioni militari e di difesa, nonché le società informatiche.
L'analista della sicurezza ribadisce gli stessi sentimenti condivisi dai ricercatori di Kaspersky di seguito sulle minacce poste da IronHusky alle grandi entità che utilizzano il malware.
Ricercatori presso @kaspersky condividere ciò che sanno sul #MysterySnail#ratto con noi. Attraverso la loro analisi hanno attribuito il #malware ad attori di minacce noti come #IronHusky. https://t.co/kVt5QKS2YS#CyberSicurezza#ITSecurity#InfoSec#ThreatIntel#Caccia alla minaccia#CVE202140449
— Lee Archinal (@ArchinalLee) 13 ottobre 2021
MisteroAttacco di lumaca
MysterySnail RAT è stato sviluppato per influenzare i client Windows e le versioni server, in particolare da Windows 7 e Windows Server 2008 fino alle ultime versioni. Ciò comprende Windows 11 e Windows Server 2022. Secondo i rapporti di Kaspersky, l'exploit si rivolge principalmente alle versioni client di Windows. Tuttavia, è stato trovato principalmente su sistemi Windows Server.
Sulla base delle informazioni raccolte dai ricercatori, questa vulnerabilità deriva dalla capacità di impostare callback in modalità utente ed eseguire funzioni API impreviste durante l'implementazione di queste richiamate. Secondo i ricercatori, l'esecuzione della funzione ResetDC una seconda volta attiva il bug. Questo è per lo stesso handle durante l'esecuzione del suo callback.
Sei stato colpito dall'exploit zero-day di MysterySnail? Fatecelo sapere nella sezione commenti qui sotto.
