- MysterySnail nulinės dienos išnaudojimas neigiamai veikia Windows klientų ir serverio versijas.
- IT įmonės, karinės ir gynybos organizacijos buvo vienos labiausiai nuo kenkėjiškų programų nukentėjusių šalių.
- IronHusky buvo už atakos prieš serverius.
Saugumo tyrinėtojų teigimu, naudodamiesi nulinės dienos pakilimo privilegija, Kinijos įsilaužėliai galėjo užpulti IT įmones ir gynybos rangovus.
Remdamasi „Kaspersky“ tyrėjų surinkta informacija, APT grupė sugebėjo panaudoti „Windows Win32K“ branduolio tvarkyklės nulinės dienos pažeidžiamumą, kurdama naują RAT Trojos arklys. Nulinės dienos eksploatacija turėjo daug derinimo eilučių iš ankstesnės versijos, CVE-2016-3309 pažeidžiamumas. 2021 m. rugpjūčio–rugsėjo mėn. „MysterySnail“ užpuolė keletą „Microsoft“ serverių.
Komandų ir valdymo (C&C) infrastruktūra yra gana panaši į aptiktą kodą. Būtent iš šios prielaidos mokslininkai galėjo susieti atakas su „IronHusky“ įsilaužėlių grupe. Atlikus tolesnius tyrimus, buvo nustatyta, kad išnaudojimo variantai buvo naudojami didelės apimties kampanijose. Tai daugiausia buvo nukreipta prieš karines ir gynybos organizacijas bei IT įmones.
Saugumo analitikas pakartoja tas pačias nuotaikas, apie kurias toliau dalijasi „Kaspersky“ tyrinėtojai apie IronHusky keliamas grėsmes dideliems subjektams, naudojantiems kenkėjišką programą.
Tyrėjai adresu @kaspersky pasidalinti tuo, ką žino apie #Paslaptinga Sraigė#žiurkė su mumis. Atlikdami analizę jie priskyrė #kenkėjiška programa grėsmės veikėjams, žinomiems kaip #IronHusky. https://t.co/kVt5QKS2YS#Kibernetinė sauga#ITSauga#InfoSec#ThreatIntel#Grėsmės medžioklė#CVE202140449
- Lee Archinal (@ArchinalLee) 2021 m. spalio 13 d
MysterySnail ataka
MysterySnail RAT buvo sukurta siekiant paveikti Windows klientų ir serverio versijas, ypač nuo Windows 7 ir Windows Server 2008 iki naujausių versijų. Tai įtraukia „Windows 11“ ir „Windows Server 2022“.. Remiantis „Kaspersky“ ataskaitomis, išnaudojimas daugiausia skirtas „Windows“ klientų versijoms. Nepaisant to, jis daugiausia buvo rastas „Windows Server“ sistemose.
Remiantis tyrėjų surinkta informacija, šis pažeidžiamumas kyla dėl galimybės nustatyti vartotojo režimo atgalinius skambučius ir vykdydami netikėtas API funkcijas atgaliniai skambučiai. Pasak mokslininkų, antrą kartą vykdant ResetDC funkciją, ši klaida suaktyvinama. Tai taikoma tai pačiai rankenai, kai vykdomas atgalinis skambutis.
Ar jus paveikė „MysterySnail“ nulinės dienos išnaudojimas? Praneškite mums toliau pateiktame komentarų skyriuje.
