- MysterySnail zero-day-utnyttelsen påvirker Windows-klienter og serverversjoner negativt.
- IT-selskaper, militære og forsvarsorganisasjoner var blant partene som ble mest berørt av skadevaren.
- IronHusky sto bak angrepet på serverne.
Ifølge sikkerhetsforskere har kinesiske hackere, ved å bruke en null-dagers elevasjonsprivilegium, vært i stand til å angripe IT-selskaper og forsvarsentreprenører.
Basert på informasjonen samlet inn av Kaspersky-forskere, var en APT-gruppe i stand til å utnytte en null-dagers sårbarhet i Windows Win32K-kjernedriveren i utviklingen av en ny RAT-trojaner. Zero-day-utnyttelsen hadde mange feilsøkingsstrenger fra forrige versjon, sårbarheten CVE-2016-3309. Mellom august og september 2021 ble et par Microsoft-servere angrepet av MysterySnail.
Kommando og kontroll (C&C) infrastruktur er ganske lik den oppdagede koden. Det er fra denne forutsetningen at forskere klarte å knytte angrepene til IronHusky-hackergruppen. Etter videre forskning ble det slått fast at varianter av utnyttelsen ble brukt i storskala kampanjer. Dette var hovedsakelig mot militære og forsvarsorganisasjoner samt IT-selskaper.
Sikkerhetsanalytikeren gjentar de samme følelsene som ble delt av forskere fra Kaspersky nedenfor om truslene fra IronHusky til store enheter som bruker skadelig programvare.
Forskere ved @kaspersky dele det de vet om #MysterySnail#rotte med oss. Gjennom sin analyse tilskrev de #skadevare til trussel aktører kjent som #IronHusky. https://t.co/kVt5QKS2YS#Cybersikkerhet#ITSecurity#InfoSec#ThreatIntel#Trusseljakt#CVE202140449
— Lee Archinal (@ArchinalLee) 13. oktober 2021
MysterySnail angrep
MysterySnail RAT ble utviklet for å påvirke Windows-klienter og serverversjoner, spesifikt fra Windows 7 og Windows Server 2008 opp til de nyeste versjonene. Dette inkluderer Windows 11 og Windows Server 2022. Ifølge rapporter fra Kaspersky er utnyttelsen hovedsakelig rettet mot Windows-klientversjoner. Likevel ble det hovedsakelig funnet på Windows Server Systems.
Basert på informasjonen som er samlet inn av forskere, stammer denne sårbarheten fra evnen til å sette tilbakeringing i brukermodus og utfør uventede API-funksjoner under implementeringen av disse tilbakeringinger. Ifølge forskere utløser feilen å kjøre ResetDC-funksjonen en gang til. Dette er for det samme håndtaket under utførelsen av tilbakeringingen.
Ble du påvirket av MysterySnail zero-day-utnyttelsen? Gi oss beskjed i kommentarfeltet nedenfor.
