- ניצול MysterySnail zero day משפיע לרעה על לקוחות Windows וגרסאות שרתים.
- חברות IT, ארגוני צבא והגנה היו בין הצדדים שהושפעו יותר מכל מהתוכנה הזדונית.
- IronHusky עמד מאחורי המתקפה על השרתים.
לדברי חוקרי אבטחה, באמצעות ניצול הרשאות גובה אפס יום, האקרים סינים הצליחו לתקוף חברות IT וקבלני הגנה.
בהתבסס על המידע שנאסף על ידי חוקרי קספרסקי, קבוצת APT הצליחה למנף פגיעות של יום אפס במנהל ההתקן של ליבת Windows Win32K בפיתוח של טרויאני RAT חדש. לניצול יום האפס היו הרבה מחרוזות ניפוי באגים מהגרסה הקודמת, הפגיעות של CVE-2016-3309. בין אוגוסט לספטמבר 2021, כמה שרתי מיקרוסופט הותקפו על ידי MysterySnail.
תשתית פיקוד ובקרה (C&C) דומה למדי לקוד שהתגלה. מתוך הנחה זו הצליחו החוקרים לקשר את ההתקפות לקבוצת ההאקרים IronHusky. לאחר מחקר נוסף, התברר כי גרסאות של הניצול היו בשימוש בקמפיינים בקנה מידה גדול. זה היה בעיקר נגד הצבא והארגונים הביטחוניים וכן נגד חברות IT.
מנתח האבטחה חוזר על אותם תחושות שחולקו חוקרים מקספרסקי להלן לגבי האיומים שמציב IronHusky לגופים גדולים המשתמשים בתוכנה הזדונית.
חוקרים ב @קספרסקי לשתף את מה שהם יודעים על
#חלזון מסתורין#עכברוש איתנו. באמצעות הניתוח שלהם הם ייחסו את #תוכנה זדונית לאיים על שחקנים הידועים בשם #איירוןהאסקי. https://t.co/kVt5QKS2YS#אבטחת סייבר#ITSecurity#InfoSec#ThreatIntel#ציד איומים#CVE202140449- לי ארגינל (@ArchinalLee) 13 באוקטובר 2021
התקפת MysterySnail
MysterySnail RAT פותחה כדי להשפיע על לקוחות Windows וגרסאות שרתים, במיוחד מ-Windows 7 ו-Windows Server 2008 ועד לגרסאות האחרונות. זה כולל Windows 11 ו-Windows Server 2022. על פי דיווחים מקספרסקי, הניצול מכוון בעיקר לגרסאות לקוח של Windows. עם זאת, הוא נמצא בעיקר במערכות Windows Server.
בהתבסס על המידע שנאסף על ידי חוקרים, פגיעות זו נובעת מהיכולת להגדיר התקשרות חוזרת במצב משתמש וביצוע פונקציות API בלתי צפויות במהלך היישום של אלה התקשרויות חוזרות. לדברי חוקרים, הפעלת הפונקציה ResetDC פעם שנייה מפעילה את הבאג. זה עבור אותה ידית במהלך ביצוע ההתקשרות חזרה שלה.
הושפעת מניצול MysterySnail zero day? ספר לנו בקטע התגובות למטה.
