- Exploit zero-day MysterySnail ma negatywny wpływ na klientów i wersje serwerowe systemu Windows.
- Wśród stron najbardziej dotkniętych szkodliwym oprogramowaniem znalazły się firmy IT oraz organizacje wojskowe i obronne.
- Za atakiem na serwery stał IronHusky.
Według badaczy bezpieczeństwa, przy użyciu exploita zero-day podnoszącego uprawnienia, chińscy hakerzy byli w stanie zaatakować firmy IT i wykonawców usług obronnych.
Na podstawie informacji zebranych przez badaczy z firmy Kaspersky grupa APT była w stanie wykorzystać lukę dnia zerowego w sterowniku jądra systemu Windows Win32K podczas opracowywania nowego trojana RAT. Exploit zero-day miał mnóstwo ciągów debugowania z poprzedniej wersji, luka CVE-2016-3309. Od sierpnia do września 2021 r. MysterySnail zaatakował kilka serwerów Microsoftu.
Infrastruktura dowodzenia i kontroli (C&C) jest dość podobna do odkrytego kodu. To z tego założenia naukowcy byli w stanie powiązać ataki z grupą hakerów IronHusky. Po dalszych badaniach ustalono, że warianty exploita były wykorzystywane w kampaniach na dużą skalę. Było to skierowane głównie przeciwko organizacjom wojskowym i obronnym oraz firmom IT.
Analityk bezpieczeństwa powtarza te same odczucia, które podzielali badacze z Kaspersky poniżej, co do zagrożeń stwarzanych przez IronHusky dużym podmiotom wykorzystującym szkodliwe oprogramowanie.
Badacze w @kasperski podziel się tym, co wiedzą o #Tajemniczy Ślimak#szczur z nami. Poprzez swoją analizę przypisali #złośliwe oprogramowanie zagrażać aktorom znanym jako #IronHusky. https://t.co/kVt5QKS2YS#Bezpieczeństwo cybernetyczne#Bezpieczeństwo IT#InfoSec#ZagrożeniaIntel#Polowanie na zagrożenia#CVE202140449
— Lee Archinal (@ArchinalLee) 13 października 2021
Atak tajemniczego ślimaka
MysterySnail RAT został opracowany, aby wpływać na klientów i wersje serwerów Windows, w szczególności od Windows 7 i Windows Server 2008 do najnowszych wersji. To zawiera Windows 11 i Windows Server 2022. Według doniesień firmy Kaspersky, exploit atakuje głównie wersje klienckie dla systemu Windows. Niemniej jednak został znaleziony głównie w systemach Windows Server.
Na podstawie informacji zebranych przez badaczy ta podatność wynika z możliwości ustawienia wywołania zwrotne w trybie użytkownika i wykonywanie nieoczekiwanych funkcji API podczas ich implementacji wywołania zwrotne. Według badaczy, ponowne wykonanie funkcji ResetDC wyzwala błąd. Dotyczy to tego samego uchwytu podczas wykonywania jego wywołania zwrotnego.
Czy dotknął Cię exploit zero-day MysterySnail? Daj nam znać w sekcji komentarzy poniżej.
