Kaspersky om effekterna av MysterySnail på Windows.

  • MysterySnail zero-day exploateringen påverkar Windows-klienter och serverversioner negativt.
  • IT-företag, militär- och försvarsorganisationer var bland de parter som drabbades mest av skadlig programvara.
  • IronHusky låg bakom attacken mot servrarna.

Enligt säkerhetsforskare har kinesiska hackare kunnat attackera IT-företag och försvarsentreprenörer med hjälp av en noll-dagars höjdprivilegium.

Baserat på informationen som samlats in av Kaspersky-forskare kunde en APT-grupp utnyttja en nolldagarssårbarhet i Windows Win32K-kärndrivrutinen i utvecklingen av en ny RAT-trojan. Zero-day exploiten hade massor av felsökningssträngar från den tidigare versionen, sårbarheten CVE-2016-3309. Mellan augusti och september 2021 attackerades ett par Microsoft-servrar av MysterySnail.

Kommando och kontroll (C&C) infrastruktur är ganska lik den upptäckta koden. Det är utifrån denna utgångspunkt som forskare kunde koppla attackerna till hackergruppen IronHusky. Efter ytterligare forskning konstaterades att varianter av exploateringen användes i storskaliga kampanjer. Detta var främst mot militären och försvarsorganisationer samt IT-företag.

Säkerhetsanalytikern upprepar samma åsikter som delas av forskare från Kaspersky nedan om de hot som IronHusky utgör mot stora enheter som använder skadlig programvara.

Forskare vid @kaspersky dela vad de vet om #MysterySnail#råtta med oss. Genom sin analys tillskrev de #skadlig programvara att hota aktörer kända som #IronHusky. https://t.co/kVt5QKS2YS#Cybersäkerhet#ITSecurity#InfoSec#ThreatIntel#ThreatHunting#CVE202140449

— Lee Archinal (@ArchinalLee) 13 oktober 2021

MysterySnail attack

MysterySnail RAT utvecklades för att påverka Windows-klienter och serverversioner, specifikt från Windows 7 och Windows Server 2008 upp till de senaste versionerna. Detta inkluderar Windows 11 och Windows Server 2022. Enligt rapporter från Kaspersky är exploateringen främst inriktad på Windows-klientversioner. Ändå hittades den främst på Windows Server Systems.

Baserat på informationen som samlats in av forskare, härrör denna sårbarhet från förmågan att ställa in callbacks i användarläge och exekvera oväntade API-funktioner under implementeringen av dessa återuppringningar. Enligt forskare utlöser buggen att köra ResetDC-funktionen en andra gång. Detta är för samma handtag under utförandet av dess återuppringning.

Blev du påverkad av MysterySnails zero-day exploit? Låt oss veta i kommentarsfältet nedan.

Sid Meiers Civilization VI stadsplaneringsguide

Sid Meiers Civilization VI stadsplaneringsguideMiscellanea

Sid Meier's Civilisation VI är ett imponerande strategispel som utmanar dig att skapa en kraftfull civilisation som kommer att styra hela världen. Uppenbarligen är detta ingen lätt uppgift, särskil...

Läs mer
Toshiba Encore vs ASUS T100: Battle of Cheap Windows 8.1-surfplattor

Toshiba Encore vs ASUS T100: Battle of Cheap Windows 8.1-surfplattorMiscellanea

För att åtgärda olika datorproblem rekommenderar vi Restoro PC Repair Tool:Denna programvara reparerar vanliga datorfel, skyddar dig mot filförlust, skadlig programvara, maskinvarufel och optimerar...

Läs mer
Microsoft Excel försöker återställa ditt informationsfel

Microsoft Excel försöker återställa ditt informationsfelMiscellanea

Kontrollera om det här är en allmän händelse eller om det bara händer när du försöker öppna en viss fil.Om det är ett allmänt problem, kontrollera om ditt antivirusprogram är uppdaterat eller strid...

Läs mer