- MysterySnail zero-day exploateringen påverkar Windows-klienter och serverversioner negativt.
- IT-företag, militär- och försvarsorganisationer var bland de parter som drabbades mest av skadlig programvara.
- IronHusky låg bakom attacken mot servrarna.
Enligt säkerhetsforskare har kinesiska hackare kunnat attackera IT-företag och försvarsentreprenörer med hjälp av en noll-dagars höjdprivilegium.
Baserat på informationen som samlats in av Kaspersky-forskare kunde en APT-grupp utnyttja en nolldagarssårbarhet i Windows Win32K-kärndrivrutinen i utvecklingen av en ny RAT-trojan. Zero-day exploiten hade massor av felsökningssträngar från den tidigare versionen, sårbarheten CVE-2016-3309. Mellan augusti och september 2021 attackerades ett par Microsoft-servrar av MysterySnail.
Kommando och kontroll (C&C) infrastruktur är ganska lik den upptäckta koden. Det är utifrån denna utgångspunkt som forskare kunde koppla attackerna till hackergruppen IronHusky. Efter ytterligare forskning konstaterades att varianter av exploateringen användes i storskaliga kampanjer. Detta var främst mot militären och försvarsorganisationer samt IT-företag.
Säkerhetsanalytikern upprepar samma åsikter som delas av forskare från Kaspersky nedan om de hot som IronHusky utgör mot stora enheter som använder skadlig programvara.
MysterySnail attack
MysterySnail RAT utvecklades för att påverka Windows-klienter och serverversioner, specifikt från Windows 7 och Windows Server 2008 upp till de senaste versionerna. Detta inkluderar Windows 11 och Windows Server 2022. Enligt rapporter från Kaspersky är exploateringen främst inriktad på Windows-klientversioner. Ändå hittades den främst på Windows Server Systems.
Baserat på informationen som samlats in av forskare, härrör denna sårbarhet från förmågan att ställa in callbacks i användarläge och exekvera oväntade API-funktioner under implementeringen av dessa återuppringningar. Enligt forskare utlöser buggen att köra ResetDC-funktionen en andra gång. Detta är för samma handtag under utförandet av dess återuppringning.
Blev du påverkad av MysterySnails zero-day exploit? Låt oss veta i kommentarsfältet nedan.