Kaspersky over de impact van de MysterySnail op Windows.

  • De zero-day exploit van MysterySnail heeft een negatieve invloed op Windows-clients en serverversies.
  • IT-bedrijven, militaire en defensie-organisaties behoorden tot de partijen die het meest werden getroffen door de malware.
  • IronHusky zat achter de aanval op de servers.

Volgens beveiligingsonderzoekers hebben Chinese hackers, met behulp van een zero-day-elevatieprivilege-exploit, IT-bedrijven en defensie-aannemers kunnen aanvallen.

Op basis van de door Kaspersky-onderzoekers verzamelde informatie kon een APT-groep een zero-day-kwetsbaarheid in de Windows Win32K-kerneldriver gebruiken bij de ontwikkeling van een nieuwe RAT-trojan. De zero-day exploit had veel debug-strings van de vorige versie, de CVE-2016-3309 kwetsbaarheid. Tussen augustus en september 2021 werden een aantal Microsoft-servers aangevallen door MysterySnail.

Command and Control (C&C) infrastructuur is vrij gelijkaardig aan de ontdekte code. Vanuit dit uitgangspunt konden onderzoekers de aanvallen koppelen aan de IronHusky-hackergroep. Bij nader onderzoek werd vastgesteld dat varianten van de exploit werden gebruikt in grootschalige campagnes. Dit was vooral gericht tegen de militaire en defensieorganisaties en tegen IT-bedrijven.

De beveiligingsanalist herhaalt dezelfde gevoelens die onderzoekers van Kaspersky hieronder delen over de bedreigingen van IronHusky voor grote entiteiten die de malware gebruiken.

Onderzoekers bij @kaspersky delen wat ze weten over de #MysterySnail#Rat met ons. Door hun analyse schreven ze de #malware om actoren te bedreigen die bekend staan ​​als #IronHusky. https://t.co/kVt5QKS2YS#CyberSecurity#IT beveiliging#InfoSec#ThreatIntel#ThreatHunting#CVE2020140449

— Lee Archinal (@ArchinalLee) 13 oktober 2021

MysterySnail aanval

MysterySnail RAT is ontwikkeld om Windows-clients en serverversies te beïnvloeden, met name van Windows 7 en Windows Server 2008 tot de nieuwste versies. Dit bevat Windows 11 en Windows Server 2022. Volgens rapporten van Kaspersky richt de exploit zich voornamelijk op Windows-clientversies. Desalniettemin werd het voornamelijk gevonden op Windows Server Systems.

Op basis van de informatie die door onderzoekers is verzameld, komt deze kwetsbaarheid voort uit het vermogen om callbacks in gebruikersmodus en onverwachte API-functies uitvoeren tijdens de implementatie hiervan terugbellen. Volgens onderzoekers activeert het een tweede keer uitvoeren van de ResetDC-functie de bug. Dit is voor dezelfde handle tijdens de uitvoering van de callback.

Bent u getroffen door de MysterySnail zero-day exploit? Laat het ons weten in de commentaarsectie hieronder.

Meldingen van taaltypefuncties beëindigen

Meldingen van taaltypefuncties beëindigenDiversen

Om verschillende pc-problemen op te lossen, raden we DriverFix aan:Deze software zorgt ervoor dat uw stuurprogramma's blijven werken en beschermt u zo tegen veelvoorkomende computerfouten en hardwa...

Lees verder
Windows 8, 10 One Note-app krijgt meer talen en andere functies

Windows 8, 10 One Note-app krijgt meer talen en andere functiesDiversen

Na SkyDrive is hernoemd naar OneDrive, Microsoft heeft een updaten naar OneNote ondersteuning bieden voor Een schijf interactie ook. Nu heeft de officiële Windows 8 One Note wat meer functies gekre...

Lees verder
Beste HP-server voor domeincontroller [Handleiding 2021]

Beste HP-server voor domeincontroller [Handleiding 2021]Diversen

Een domeincontroller is een server die reageert op beveiligingsverificatieverzoeken met een Windows Server-domein. Als u van plan bent de domeincontroller te gebruiken of wilt upgraden vanaf uw hui...

Lees verder