- A exploração de dia zero MysterySnail impacta negativamente os clientes Windows e as versões do servidor.
- Empresas de TI, organizações militares e de defesa estavam entre as partes mais afetadas pelo malware.
- IronHusky estava por trás do ataque aos servidores.
De acordo com pesquisadores de segurança, usando uma exploração de privilégio de elevação de dia zero, os hackers chineses foram capazes de atacar empresas de TI e empreiteiros de defesa.
Com base nas informações coletadas pelos pesquisadores da Kaspersky, um grupo APT foi capaz de aproveitar uma vulnerabilidade de dia zero no driver do kernel Win32K do Windows no desenvolvimento de um novo cavalo de Tróia RAT. O exploit de dia zero tinha muitas strings de depuração da versão anterior, a vulnerabilidade CVE-2016-3309. Entre agosto e setembro de 2021, alguns servidores da Microsoft foram atacados pelo MysterySnail.
A infraestrutura de comando e controle (C&C) é bastante semelhante ao código descoberto. É a partir dessa premissa que os pesquisadores conseguiram vincular os ataques ao grupo de hackers IronHusky. Após pesquisas adicionais, foi estabelecido que variantes do exploit estavam sendo usadas em campanhas de grande escala. Isso era principalmente contra as organizações militares e de defesa, bem como contra as empresas de TI.
O analista de segurança reitera os mesmos sentimentos compartilhados pelos pesquisadores da Kaspersky abaixo sobre as ameaças representadas pelo IronHusky para grandes entidades que usam o malware.
Pesquisadores em @kaspersky compartilhe o que eles sabem sobre o #MysterySnail#rato conosco. Por meio de sua análise, eles atribuíram o #malware para ameaçar os atores conhecidos como #IronHusky. https://t.co/kVt5QKS2YS#Cíber segurança#Segurança de TI#InfoSec#ThreatIntel#ThreatHunting# CVE202140449
- Lee Archinal (@ArchinalLee) 13 de outubro de 2021
Ataque MysterySnail
MysterySnail RAT foi desenvolvido para afetar clientes Windows e versões de servidor, especificamente do Windows 7 e do Windows Server 2008 até as versões mais recentes. Isso inclui Windows 11 e Windows Server 2022. De acordo com relatórios da Kaspersky, a exploração visa principalmente versões de clientes do Windows. No entanto, ele foi encontrado predominantemente em sistemas Windows Server.
Com base nas informações coletadas por pesquisadores, esta vulnerabilidade decorre da capacidade de definir callbacks de modo de usuário e executar funções API inesperadas durante a implementação destes retornos de chamada. De acordo com os pesquisadores, executar a função ResetDC uma segunda vez aciona o bug. Isso é para o mesmo identificador durante a execução de seu retorno de chamada.
Você foi afetado pelo exploit MysterySnail de dia zero? Deixe-nos saber na seção de comentários abaixo.
