Kaspersky om virkningen av MysterySnail på Windows.

  • MysterySnail zero-day-utnyttelsen påvirker Windows-klienter og serverversjoner negativt.
  • IT-selskaper, militære og forsvarsorganisasjoner var blant partene som ble mest berørt av skadevaren.
  • IronHusky sto bak angrepet på serverne.

Ifølge sikkerhetsforskere har kinesiske hackere, ved å bruke en null-dagers elevasjonsprivilegium, vært i stand til å angripe IT-selskaper og forsvarsentreprenører.

Basert på informasjonen samlet inn av Kaspersky-forskere, var en APT-gruppe i stand til å utnytte en null-dagers sårbarhet i Windows Win32K-kjernedriveren i utviklingen av en ny RAT-trojaner. Zero-day-utnyttelsen hadde mange feilsøkingsstrenger fra forrige versjon, sårbarheten CVE-2016-3309. Mellom august og september 2021 ble et par Microsoft-servere angrepet av MysterySnail.

Kommando og kontroll (C&C) infrastruktur er ganske lik den oppdagede koden. Det er fra denne forutsetningen at forskere klarte å knytte angrepene til IronHusky-hackergruppen. Etter videre forskning ble det slått fast at varianter av utnyttelsen ble brukt i storskala kampanjer. Dette var hovedsakelig mot militære og forsvarsorganisasjoner samt IT-selskaper.

Sikkerhetsanalytikeren gjentar de samme følelsene som ble delt av forskere fra Kaspersky nedenfor om truslene fra IronHusky til store enheter som bruker skadelig programvare.

Forskere ved @kaspersky dele det de vet om #MysterySnail#rotte med oss. Gjennom sin analyse tilskrev de #skadevare til trussel aktører kjent som #IronHusky. https://t.co/kVt5QKS2YS#Cybersikkerhet#ITSecurity#InfoSec#ThreatIntel#Trusseljakt#CVE202140449

— Lee Archinal (@ArchinalLee) 13. oktober 2021

MysterySnail angrep

MysterySnail RAT ble utviklet for å påvirke Windows-klienter og serverversjoner, spesifikt fra Windows 7 og Windows Server 2008 opp til de nyeste versjonene. Dette inkluderer Windows 11 og Windows Server 2022. Ifølge rapporter fra Kaspersky er utnyttelsen hovedsakelig rettet mot Windows-klientversjoner. Likevel ble det hovedsakelig funnet på Windows Server Systems.

Basert på informasjonen som er samlet inn av forskere, stammer denne sårbarheten fra evnen til å sette tilbakeringing i brukermodus og utfør uventede API-funksjoner under implementeringen av disse tilbakeringinger. Ifølge forskere utløser feilen å kjøre ResetDC-funksjonen en gang til. Dette er for det samme håndtaket under utførelsen av tilbakeringingen.

Ble du påvirket av MysterySnail zero-day-utnyttelsen? Gi oss beskjed i kommentarfeltet nedenfor.

Windows 10 Anniversary Update BSOD QR-koder kan være en sikkerhetsrisiko

Windows 10 Anniversary Update BSOD QR-koder kan være en sikkerhetsrisikoMiscellanea

PC-brukere er kjent med de beryktede blå skjerm av død, en kryptisk melding som vises etter en alvorlig systemfeil. Men ingen kunne faktisk tyde disse meldingene og feilsøke problemene de opplevde,...

Les mer
Slik løser du Far Cry-feil i Windows 10

Slik løser du Far Cry-feil i Windows 10Miscellanea

For å fikse forskjellige PC-problemer, anbefaler vi DriverFix:Denne programvaren vil holde driverne dine i gang, og dermed beskytte deg mot vanlige datamaskinfeil og maskinvarefeil. Sjekk alle driv...

Les mer
Problemer med Internett-tilkobling på Windows 10 • Windows-rapport

Problemer med Internett-tilkobling på Windows 10 • Windows-rapportMiscellanea

Tidsbesparende programvare- og maskinvarekompetanse som hjelper 200 millioner brukere årlig. Guider deg med råd, nyheter og tips for å oppgradere ditt tekniske liv.For å fikse forskjellige PC-probl...

Les mer