- MysterySnail 제로데이 익스플로잇은 Windows 클라이언트 및 서버 버전에 부정적인 영향을 미칩니다.
- IT 회사, 군사 및 국방 조직은 맬웨어의 영향을 가장 많이 받는 당사자 중 하나였습니다.
- IronHusky는 서버에 대한 공격의 배후에 있었습니다.
보안 연구원에 따르면 중국 해커는 제로데이 승격 권한 익스플로잇을 사용하여 IT 회사와 방위 산업체를 공격할 수 있었습니다.
Kaspersky 연구원이 수집한 정보를 기반으로 APT 그룹은 Windows Win32K 커널 드라이버의 제로 데이 취약점을 새로운 RAT 트로이 목마 개발에 활용할 수 있었습니다. 제로데이 익스플로잇에는 이전 버전의 디버그 문자열이 많이 있었습니다. CVE-2016-3309 취약점. 2021년 8월과 9월 사이에 두 대의 Microsoft 서버가 MysterySnail의 공격을 받았습니다.
명령 및 제어(C&C) 인프라는 발견된 코드와 매우 유사합니다. 연구원들이 IronHusky 해커 그룹에 공격을 연결할 수 있었던 것은 이 전제에서입니다. 추가 연구를 통해 이 익스플로잇의 변종들이 대규모 캠페인에 사용되고 있음이 확인되었습니다. 이는 주로 군부대와 국방조직, IT기업을 대상으로 한 것이었다.
보안 분석가는 IronHusky가 맬웨어를 사용하는 대기업에 제기한 위협에 대해 아래 Kaspersky 연구원이 공유한 것과 동일한 감정을 반복합니다.
연구원 @kaspersky 그들이 알고 있는 것을 공유 #미스터리달팽이#쥐 우리와 함께. 그들의 분석을 통해 그들은 #맬웨어 로 알려진 위협 행위자에게 #아이언허스키. https://t.co/kVt5QKS2YS#사이버보안#IT보안#InfoSec#Threat인텔#위협사냥#CVE202140449
— Lee Archinal (@ArchinalLee) 2021년 10월 13일
신비달팽이 공격
MysterySnail RAT는 Windows 클라이언트 및 서버 버전, 특히 Windows 7 및 Windows Server 2008에서 최신 버전까지 영향을 미치도록 개발되었습니다. 여기에는 다음이 포함됩니다.
윈도우 11 및 윈도우 서버 2022. Kaspersky의 보고서에 따르면 익스플로잇은 주로 Windows 클라이언트 버전을 대상으로 합니다. 그럼에도 불구하고 주로 Windows Server 시스템에서 발견되었습니다.연구원들이 수집한 정보를 바탕으로 이 취약점은 사용자 모드 콜백 및 이러한 구현 중에 예기치 않은 API 기능 실행 콜백. 연구원에 따르면 ResetDC 기능을 두 번째로 실행하면 버그가 트리거됩니다. 이것은 콜백을 실행하는 동안 동일한 핸들에 대한 것입니다.
MysterySnail 제로데이 익스플로잇의 영향을 받았습니까? 아래 댓글 섹션에 알려주십시오.
