- MysterySnail sıfır gün açığı, Windows İstemcilerini ve Sunucu Sürümlerini olumsuz etkiler.
- BT şirketleri, Askeri ve Savunma kuruluşları, kötü amaçlı yazılımdan en çok etkilenen taraflar arasındaydı.
- Sunuculara yapılan saldırının arkasında IronHusky vardı.
Güvenlik araştırmacılarına göre, Çinli bilgisayar korsanları, sıfır gün yükseltme ayrıcalığı kullanarak, BT şirketlerine ve savunma yüklenicilerine saldırabildiler.
Kaspersky araştırmacıları tarafından toplanan bilgilere dayanarak, bir APT grubu, yeni bir RAT truva atının geliştirilmesinde Windows Win32K çekirdek sürücüsündeki sıfırıncı gün güvenlik açığından yararlanmayı başardı. Sıfır gün açığı, önceki sürümden çok sayıda hata ayıklama dizesine sahipti, CVE-2016-3309 güvenlik açığı. Ağustos ve Eylül 2021 arasında birkaç Microsoft sunucusu MysterySnail tarafından saldırıya uğradı.
Komuta ve Kontrol (C&C) altyapısı, keşfedilen koda oldukça benzer. Bu öncülden araştırmacılar, saldırıları IronHusky hacker grubuna bağlayabildiler. Daha fazla araştırma üzerine, istismarın çeşitlerinin büyük ölçekli kampanyalarda kullanıldığı tespit edildi. Bu, esas olarak askeri ve savunma örgütlerinin yanı sıra BT şirketlerine karşıydı.
Güvenlik analisti, IronHusky'nin kötü amaçlı yazılımı kullanan büyük kuruluşlara yönelik tehditleri hakkında Kaspersky araştırmacıları tarafından paylaşılan aynı duyguları aşağıda yineliyor.
Araştırmacılar @kaspersky hakkında bildiklerini paylaşmak #GizemSalyangoz#fare bizimle. Analizleri aracılığıyla, #kötü amaçlı yazılım olarak bilinen aktörleri tehdit etmek için #DemirHusky. https://t.co/kVt5QKS2YS#Siber güvenlik#Bilgi Teknolojileri Güvenliği#BilgiSn#ThreatIntel#TehditAvcılık#CVE202140449
— Lee Archinal (@ArchinalLee) 13 Ekim 2021
Gizem Salyangoz saldırısı
MysterySnail RAT, özellikle Windows 7 ve Windows Server 2008'den en son sürümlere kadar Windows istemcilerini ve sunucu sürümlerini etkilemek için geliştirilmiştir. Bu içerir Windows 11 ve Windows Server 2022. Kaspersky'nin raporlarına göre, istismar esas olarak Windows istemci sürümlerini hedefliyor. Yine de, ağırlıklı olarak Windows Server Sistemlerinde bulundu.
Araştırmacılar tarafından toplanan bilgilere dayanarak, bu güvenlik açığı, ayarlama yeteneğinden kaynaklanmaktadır. kullanıcı modu geri aramaları ve bunların uygulanması sırasında beklenmeyen API işlevlerini yürütme geri aramalar. Araştırmacılara göre, ResetDC işlevini ikinci kez çalıştırmak hatayı tetikliyor. Bu, geri aramanın yürütülmesi sırasında aynı tanıtıcı içindir.
MysterySnail sıfır gün açığından etkilendiniz mi? Aşağıdaki yorum bölümünde bize bildirin.
