- การใช้ประโยชน์จาก Zero-day ของ MysterySnail ส่งผลเสียต่อไคลเอนต์ Windows และเวอร์ชันเซิร์ฟเวอร์
- บริษัทไอที องค์กรด้านการทหารและการป้องกันเป็นกลุ่มที่ได้รับผลกระทบจากมัลแวร์มากที่สุด
- IronHusky อยู่เบื้องหลังการโจมตีเซิร์ฟเวอร์
นักวิจัยด้านความปลอดภัยกล่าวว่าแฮกเกอร์ชาวจีนสามารถโจมตีบริษัทไอทีและผู้รับเหมาด้านการป้องกันได้โดยใช้ช่องโหว่การยกระดับสิทธิ์แบบ zero-day
จากข้อมูลที่รวบรวมโดยนักวิจัยของ Kaspersky กลุ่ม APT สามารถใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ในไดรเวอร์เคอร์เนล Windows Win32K ในการพัฒนาโทรจัน RAT ตัวใหม่ การใช้ประโยชน์จากซีโร่เดย์มีสตริงการดีบักมากมายจากเวอร์ชันก่อนหน้า ช่องโหว่ CVE-2016-3309. ระหว่างเดือนสิงหาคมถึงกันยายน 2564 เซิร์ฟเวอร์ของ Microsoft สองสามเครื่องถูกโจมตีโดย MysterySnail
โครงสร้างพื้นฐานของคำสั่งและการควบคุม (C&C) ค่อนข้างคล้ายกับโค้ดที่ค้นพบ จากสมมติฐานนี้นักวิจัยสามารถเชื่อมโยงการโจมตีกับกลุ่มแฮ็กเกอร์ IronHusky จากการวิจัยเพิ่มเติม พบว่ามีการใช้รูปแบบต่างๆ ของการใช้ประโยชน์ในแคมเปญขนาดใหญ่ ซึ่งส่วนใหญ่เป็นการต่อต้านองค์กรทางการทหารและการป้องกัน เช่นเดียวกับบริษัทไอที
นักวิเคราะห์ด้านความปลอดภัยย้ำความรู้สึกเดียวกันกับนักวิจัยจาก Kaspersky ด้านล่างเกี่ยวกับภัยคุกคามที่เกิดจาก IronHusky ต่อหน่วยงานขนาดใหญ่ที่ใช้มัลแวร์
นักวิจัยที่ @kaspersky แบ่งปันสิ่งที่พวกเขารู้เกี่ยวกับ #หอยทากลึกลับ#หนู กับพวกเรา. จากการวิเคราะห์พบว่า #มัลแวร์ ต่อผู้คุกคามที่เรียกว่า #ไอรอนฮัสกี้. https://t.co/kVt5QKS2YS#ความปลอดภัยทางไซเบอร์#ความปลอดภัยไอที#InfoSec#ภัยคุกคามIntel#การล่าภัยคุกคาม#CVE202140449
— ลีอาร์ชินัล (@ArchinalLee) 13 ตุลาคม 2564
ลึกลับโจมตีหอยทาก
MysterySnail RAT ได้รับการพัฒนาเพื่อให้มีผลกับไคลเอ็นต์ Windows และเวอร์ชันเซิร์ฟเวอร์ โดยเฉพาะจาก Windows 7 และ Windows Server 2008 จนถึงเวอร์ชันล่าสุด ซึ่งรวมถึง Windows 11 และ Windows Server 2022. ตามรายงานจาก Kaspersky การใช้ประโยชน์ส่วนใหญ่มุ่งเป้าไปที่เวอร์ชันไคลเอนต์ Windows อย่างไรก็ตาม ส่วนใหญ่พบบน Windows Server Systems
จากข้อมูลที่รวบรวมโดยนักวิจัย ช่องโหว่นี้เกิดจากความสามารถในการตั้งค่า การเรียกกลับในโหมดผู้ใช้และเรียกใช้ฟังก์ชัน API ที่ไม่คาดคิดระหว่างการใช้งานเหล่านี้ โทรกลับ นักวิจัยกล่าวว่าการเรียกใช้ฟังก์ชัน ResetDC เป็นครั้งที่สองจะทำให้เกิดจุดบกพร่อง นี่สำหรับหมายเลขอ้างอิงเดียวกันระหว่างการดำเนินการเรียกกลับ
คุณได้รับผลกระทบจากช่องโหว่ Zero-day ของ MysterySnail หรือไม่? แจ้งให้เราทราบในส่วนความคิดเห็นด้านล่าง
