Kaspersky om effekterna av MysterySnail på Windows.

  • MysterySnail zero-day exploateringen påverkar Windows-klienter och serverversioner negativt.
  • IT-företag, militär- och försvarsorganisationer var bland de parter som drabbades mest av skadlig programvara.
  • IronHusky låg bakom attacken mot servrarna.

Enligt säkerhetsforskare har kinesiska hackare kunnat attackera IT-företag och försvarsentreprenörer med hjälp av en noll-dagars höjdprivilegium.

Baserat på informationen som samlats in av Kaspersky-forskare kunde en APT-grupp utnyttja en nolldagarssårbarhet i Windows Win32K-kärndrivrutinen i utvecklingen av en ny RAT-trojan. Zero-day exploiten hade massor av felsökningssträngar från den tidigare versionen, sårbarheten CVE-2016-3309. Mellan augusti och september 2021 attackerades ett par Microsoft-servrar av MysterySnail.

Kommando och kontroll (C&C) infrastruktur är ganska lik den upptäckta koden. Det är utifrån denna utgångspunkt som forskare kunde koppla attackerna till hackergruppen IronHusky. Efter ytterligare forskning konstaterades att varianter av exploateringen användes i storskaliga kampanjer. Detta var främst mot militären och försvarsorganisationer samt IT-företag.

Säkerhetsanalytikern upprepar samma åsikter som delas av forskare från Kaspersky nedan om de hot som IronHusky utgör mot stora enheter som använder skadlig programvara.

Forskare vid @kaspersky dela vad de vet om #MysterySnail#råtta med oss. Genom sin analys tillskrev de #skadlig programvara att hota aktörer kända som #IronHusky. https://t.co/kVt5QKS2YS#Cybersäkerhet#ITSecurity#InfoSec#ThreatIntel#ThreatHunting#CVE202140449

— Lee Archinal (@ArchinalLee) 13 oktober 2021

MysterySnail attack

MysterySnail RAT utvecklades för att påverka Windows-klienter och serverversioner, specifikt från Windows 7 och Windows Server 2008 upp till de senaste versionerna. Detta inkluderar Windows 11 och Windows Server 2022. Enligt rapporter från Kaspersky är exploateringen främst inriktad på Windows-klientversioner. Ändå hittades den främst på Windows Server Systems.

Baserat på informationen som samlats in av forskare, härrör denna sårbarhet från förmågan att ställa in callbacks i användarläge och exekvera oväntade API-funktioner under implementeringen av dessa återuppringningar. Enligt forskare utlöser buggen att köra ResetDC-funktionen en andra gång. Detta är för samma handtag under utförandet av dess återuppringning.

Blev du påverkad av MysterySnails zero-day exploit? Låt oss veta i kommentarsfältet nedan.

Felsökningsguider för att åtgärda Netflix-fel och problem

Felsökningsguider för att åtgärda Netflix-fel och problemMiscellanea

VerifieradPlockad personalRESTORO PC REPARATIONSVERKTYGRestoro PC-reparationsverktyg fixar vanliga PC-fel och filer, skyddar dig mot skadlig programvara, maskinvarufel och ökar din PC till maximal...

Läs mer
Rdio släpper app för Windows 8 med över 20 miljoner spår

Rdio släpper app för Windows 8 med över 20 miljoner spårMiscellanea

Det finns gott om radioappar eller streamingtjänster för musik på Windows Store, men många surfare har väntat särskilt på att Rdio-appen ska släppas för Windows 8-användare.Rdio har äntligen släppt...

Läs mer
5 bästa program för antagning till skolan [2021 Guide]

5 bästa program för antagning till skolan [2021 Guide]Miscellanea

Tidsbesparande mjukvaru- och hårdvarukompetens som hjälper 200 miljoner användare varje år. Guider dig med råd, nyheter och tips för att uppgradera ditt tekniska liv. Svit AlmaAlma är en otroligt k...

Läs mer