- МистериСнаил експлоатација нултог дана негативно утиче на Виндовс клијенте и верзије сервера.
- ИТ компаније, војне и одбрамбене организације биле су међу странкама које су највише погођене малвером.
- ИронХуски је стајао иза напада на сервере.
Према истраживачима безбедности, користећи експлоатацију привилегија нултог дана, кинески хакери су успели да нападну ИТ компаније и одбрамбене уговараче.
На основу информација које су прикупили истраживачи компаније Касперски, АПТ група је успела да искористи рањивост нултог дана у управљачком програму језгра Виндовс Вин32К у развоју новог РАТ тројанца. Експлоат нултог дана имао је доста стрингова за отклањање грешака из претходне верзије, рањивост ЦВЕ-2016-3309. Између августа и септембра 2021. МистериСнаил је напао неколико Мицрософт сервера.
Инфраструктура команде и контроле (Ц&Ц) је прилично слична откривеном коду. Из ове премисе истраживачи су успели да повежу нападе са хакерском групом ИронХуски. Даљим истраживањем установљено је да су варијанте експлоатације коришћене у великим кампањама. То је углавном било против војних и одбрамбених организација, као и ИТ компанија.
Безбедносни аналитичар понавља иста осећања која деле истраживачи из компаније Касперски у наставку о претњама које ИронХуски представља великим ентитетима који користе малвер.
Истраживачи у @касперски поделе шта знају о #МистериСнаил#рат са нама. Својом анализом приписали су #злонамерних програма актерима претњи познатим као #ИронХуски. https://t.co/kVt5QKS2YS#ЦиберСецурити#ИТСецурити#ИнфоСец#ТхреатИнтел#ТхреатХунтинг#ЦВЕ202140449
— Лее Арцхинал (@АрцхиналЛее) 13. октобар 2021
МистериСнаил аттацк
МистериСнаил РАТ је развијен да утиче на Виндовс клијенте и верзије сервера, посебно од Виндовс 7 и Виндовс Сервер 2008 до најновијих верзија. Ово укључује Виндовс 11 и Виндовс Сервер 2022. Према извештајима компаније Касперски, експлоатација углавном циља на верзије Виндовс клијента. Ипак, претежно се налазио на Виндовс Сервер системима.
На основу информација које су прикупили истраживачи, ова рањивост произилази из могућности постављања повратне позиве у корисничком режиму и извршавање неочекиваних АПИ функција током њихове имплементације повратни позиви. Према истраживачима, извршавање функције РесетДЦ по други пут покреће грешку. Ово је за исти ручник током извршавања његовог повратног позива.
Да ли сте били погођени експлоатацијом нултог дана МистериСнаил? Обавестите нас у одељку за коментаре испод.
