- De zero-day exploit van MysterySnail heeft een negatieve invloed op Windows-clients en serverversies.
- IT-bedrijven, militaire en defensie-organisaties behoorden tot de partijen die het meest werden getroffen door de malware.
- IronHusky zat achter de aanval op de servers.
Volgens beveiligingsonderzoekers hebben Chinese hackers, met behulp van een zero-day-elevatieprivilege-exploit, IT-bedrijven en defensie-aannemers kunnen aanvallen.
Op basis van de door Kaspersky-onderzoekers verzamelde informatie kon een APT-groep een zero-day-kwetsbaarheid in de Windows Win32K-kerneldriver gebruiken bij de ontwikkeling van een nieuwe RAT-trojan. De zero-day exploit had veel debug-strings van de vorige versie, de CVE-2016-3309 kwetsbaarheid. Tussen augustus en september 2021 werden een aantal Microsoft-servers aangevallen door MysterySnail.
Command and Control (C&C) infrastructuur is vrij gelijkaardig aan de ontdekte code. Vanuit dit uitgangspunt konden onderzoekers de aanvallen koppelen aan de IronHusky-hackergroep. Bij nader onderzoek werd vastgesteld dat varianten van de exploit werden gebruikt in grootschalige campagnes. Dit was vooral gericht tegen de militaire en defensieorganisaties en tegen IT-bedrijven.
De beveiligingsanalist herhaalt dezelfde gevoelens die onderzoekers van Kaspersky hieronder delen over de bedreigingen van IronHusky voor grote entiteiten die de malware gebruiken.
Onderzoekers bij @kaspersky delen wat ze weten over de #MysterySnail#Rat met ons. Door hun analyse schreven ze de #malware om actoren te bedreigen die bekend staan als #IronHusky. https://t.co/kVt5QKS2YS#CyberSecurity#IT beveiliging#InfoSec#ThreatIntel#ThreatHunting#CVE2020140449
— Lee Archinal (@ArchinalLee) 13 oktober 2021
MysterySnail aanval
MysterySnail RAT is ontwikkeld om Windows-clients en serverversies te beïnvloeden, met name van Windows 7 en Windows Server 2008 tot de nieuwste versies. Dit bevat Windows 11 en Windows Server 2022. Volgens rapporten van Kaspersky richt de exploit zich voornamelijk op Windows-clientversies. Desalniettemin werd het voornamelijk gevonden op Windows Server Systems.
Op basis van de informatie die door onderzoekers is verzameld, komt deze kwetsbaarheid voort uit het vermogen om callbacks in gebruikersmodus en onverwachte API-functies uitvoeren tijdens de implementatie hiervan terugbellen. Volgens onderzoekers activeert het een tweede keer uitvoeren van de ResetDC-functie de bug. Dit is voor dezelfde handle tijdens de uitvoering van de callback.
Bent u getroffen door de MysterySnail zero-day exploit? Laat het ons weten in de commentaarsectie hieronder.
