- Izkoriščanje ničelnega dne MysterySnail negativno vpliva na odjemalce in strežniške različice sistema Windows.
- Podjetja IT, vojaške in obrambne organizacije so bile med strankami, ki jih je zlonamerna programska oprema najbolj prizadela.
- Za napadom na strežnike je stal IronHusky.
Po mnenju varnostnih raziskovalcev so lahko kitajski hekerji z izkoriščanjem privilegijev ničelnega dne napadli IT podjetja in obrambne izvajalce.
Na podlagi informacij, ki so jih zbrali raziskovalci Kasperskyja, je skupina APT lahko izkoristila ranljivost nič dneva v gonilniku jedra Windows Win32K pri razvoju novega trojanca RAT. Izkoriščanje ničelnega dne je imelo veliko nizov za odpravljanje napak iz prejšnje različice, ranljivost CVE-2016-3309. Med avgustom in septembrom 2021 je MysterySnail napadel nekaj Microsoftovih strežnikov.
Infrastruktura za upravljanje in nadzor (C&C) je precej podobna odkriti kodi. Iz te premise so raziskovalci lahko napade povezali s hekersko skupino IronHusky. Po nadaljnjih raziskavah je bilo ugotovljeno, da se različice izkoriščanja uporabljajo v obsežnih kampanjah. To je bilo predvsem proti vojaškim in obrambnim organizacijam ter IT podjetjem.
Varnostni analitik ponavlja enake občutke, ki jih delijo raziskovalci iz Kasperskyja spodaj o grožnjah, ki jih IronHusky predstavlja velikim subjektom, ki uporabljajo zlonamerno programsko opremo.
Raziskovalci pri @kaspersky delijo, kaj vedo o #MysterySnail#podgana z nami. S svojo analizo so pripisali #malware akterjem grožnje, znanim kot #IronHusky. https://t.co/kVt5QKS2YS#Spletna varnost#ITSecurity#InfoSec#ThreatIntel#Lov na grožnje#CVE202140449
— Lee Archinal (@ArchinalLee) 13. oktober 2021
Napad MysterySnail
MysterySnail RAT je bil razvit, da vpliva na odjemalce in strežniške različice sistema Windows, zlasti od Windows 7 in Windows Server 2008 do najnovejših različic. To vključuje Windows 11 in Windows Server 2022. Po poročilih Kasperskyja je izkoriščanje usmerjeno predvsem na različice odjemalca Windows. Kljub temu so ga večinoma našli v sistemih Windows Server.
Na podlagi informacij, ki so jih zbrali raziskovalci, ta ranljivost izvira iz zmožnosti nastavljanja povratne klice v uporabniškem načinu in izvajanje nepričakovanih funkcij API-ja med izvajanjem le-teh povratne klice. Po mnenju raziskovalcev ponovna izvedba funkcije ResetDC sproži napako. To je za isti ročaj med izvajanjem njegovega povratnega klica.
Ali vas je prizadel izkoriščanje ničelnega dne MysterySnail? Sporočite nam v spodnjem razdelku za komentarje.
![Napaka »Datoteka v uporabi« v sistemu Windows 10 [Popravi]](/f/4941287765bff8c8e7c467b5df0feacb.jpg?width=300&height=460)
