- Zneužitie MysterySnail zero-day negatívne ovplyvňuje klientske a serverové verzie systému Windows.
- IT spoločnosti, vojenské a obranné organizácie patrili medzi strany, ktoré malvér najviac zasiahol.
- Za útokom na servery stál IronHusky.
Podľa bezpečnostných výskumníkov boli čínski hackeri s využitím privilégia nultého dňa schopní zaútočiť na IT spoločnosti a dodávateľov obrany.
Na základe informácií zhromaždených výskumníkmi Kaspersky dokázala skupina APT využiť zero-day zraniteľnosť v ovládači jadra Windows Win32K pri vývoji nového trójskeho koňa RAT. Využitie zero-day malo veľa reťazcov ladenia z predchádzajúcej verzie, zraniteľnosť CVE-2016-3309. Medzi augustom a septembrom 2021 bolo MysterySnail napadnuté niekoľko serverov spoločnosti Microsoft.
Infraštruktúra Command and Control (C&C) je celkom podobná objavenému kódu. Práve z tohto predpokladu vedci dokázali spojiť útoky so skupinou hackerov IronHusky. Pri ďalšom výskume sa zistilo, že varianty exploitu sa používali vo veľkých kampaniach. Bolo to najmä proti armáde a obranným organizáciám, ako aj IT spoločnostiam.
Bezpečnostný analytik opakuje rovnaké názory, ktoré zdieľajú výskumníci z Kaspersky nižšie o hrozbách, ktoré IronHusky predstavuje pre veľké subjekty používajúce malvér.
Výskumníci v @kaspersky zdieľať, čo o nich vedia #MysterySlimák#potkan s nami. Prostredníctvom svojej analýzy pripisovali tzv #malvér k hrozbám aktérom známym ako #IronHusky. https://t.co/kVt5QKS2YS#Kyber ochrana#ITBezpečnosť#InfoSec#ThreatIntel#ThreatHunting#CVE202140449
— Lee Archinal (@ArchinalLee) 13. október 2021
MysterySnail útok
MysterySnail RAT bol vyvinutý na ovplyvnenie verzií klientov a serverov Windows, konkrétne od Windows 7 a Windows Server 2008 až po najnovšie verzie. Toto zahŕňa Windows 11 a Windows Server 2022. Podľa správ od Kaspersky sa exploit zameriava najmä na verzie klientov Windows. Napriek tomu sa vyskytoval prevažne na serverových systémoch Windows.
Na základe informácií zhromaždených výskumníkmi táto zraniteľnosť pramení zo schopnosti nastaviť spätné volania v užívateľskom režime a spúšťanie neočakávaných funkcií API počas ich implementácie spätné volanie. Podľa výskumníkov, spustenie funkcie ResetDC druhýkrát spustí chybu. Toto je pre rovnaký popisovač počas vykonávania jeho spätného volania.
Ovplyvnil vás zero-day exploit MysterySnail? Dajte nám vedieť v sekcii komentárov nižšie.
