Касперский о влиянии MysterySnail на Windows.

  • Эксплойт нулевого дня MysterySnail негативно влияет на клиенты и версии серверов Windows.
  • ИТ-компании, военные и оборонные организации оказались в числе наиболее пострадавших от вредоносного ПО.
  • IronHusky стоял за атакой на серверы.

По словам исследователей в области безопасности, китайские хакеры с помощью эксплойта с повышением привилегий нулевого дня смогли атаковать ИТ-компании и подрядчиков.

На основе информации, собранной исследователями «Лаборатории Касперского», группа APT смогла использовать уязвимость нулевого дня в драйвере ядра Windows Win32K при разработке нового трояна RAT. Эксплойт нулевого дня имел множество отладочных строк из предыдущей версии, уязвимость CVE-2016-3309. В период с августа по сентябрь 2021 года несколько серверов Microsoft были атакованы MysterySnail.

Инфраструктура Command and Control (C&C) очень похожа на обнаруженный код. Исходя из этого предположения, исследователи смогли связать атаки с хакерской группой IronHusky. В ходе дальнейших исследований было установлено, что варианты эксплойта использовались в масштабных кампаниях. В основном это было против военных и оборонных организаций, а также ИТ-компаний.

Аналитик по безопасности повторяет те же мнения, что и исследователи из Kaspersky, указанные ниже, в отношении угроз, которые IronHusky представляет для крупных организаций, использующих вредоносное ПО.

Исследователи в @kaspersky поделитесь тем, что они знают о #MysterySnail#крыса с нами. В ходе своего анализа они приписали # вредоносное ПО субъектам угроз, известным как # Железный Хаски. https://t.co/kVt5QKS2YS#Компьютерная безопасность#ITSecurity#InfoSec#ThreatIntel#ThreatHunting# CVE202140449

- Ли Арчинал (@ArchinalLee) 13 октября 2021 г.

ТайнаУлитка нападения

MysterySnail RAT был разработан, чтобы влиять на версии клиентов и серверов Windows, в частности от Windows 7 и Windows Server 2008 до последних версий. Это включает Windows 11 и Windows Server 2022. Согласно отчетам «Лаборатории Касперского», эксплойт в основном нацелен на клиентские версии Windows. Тем не менее, в основном он был обнаружен в системах Windows Server.

Согласно информации, собранной исследователями, эта уязвимость связана с возможностью установки обратные вызовы пользовательского режима и выполнение неожиданных функций API во время реализации этих обратные вызовы. По словам исследователей, повторное выполнение функции ResetDC вызывает ошибку. Это для того же дескриптора во время выполнения его обратного вызова.

Пострадал ли вас от эксплойта нулевого дня MysterySnail? Дайте нам знать в разделе комментариев ниже.

Тесты на время автономной работы Windows 10 v1803 показывают, что Edge лучше Chrome

Тесты на время автономной работы Windows 10 v1803 показывают, что Edge лучше ChromeРазное

Chrome и Firefox имеют значительно большую пользовательскую базу, чем Edge, но Флагманский браузер Microsoft действительно имеет преимущество, когда дело доходит до эффективность батареи. Теперь, к...

Читать далее
Приложение OneDrive для бизнеса для Windows 8 и 10 доступно для загрузки

Приложение OneDrive для бизнеса для Windows 8 и 10 доступно для загрузкиРазное

Microsoft была вынуждена переименовать SkyDrive в OneDrive, что, надо согласиться, не такая уж плохая репутация. В основном это то же имя, что и OneNote. Теперь официальное приложение для Windows 8...

Читать далее
Как установить Windows 10 Creators Update без учетной записи Microsoft

Как установить Windows 10 Creators Update без учетной записи MicrosoftРазное

Для решения различных проблем с ПК мы рекомендуем DriverFix:Это программное обеспечение будет поддерживать ваши драйверы в рабочем состоянии, тем самым защищая вас от распространенных компьютерных ...

Читать далее