- Експлойт нульового дня MysterySnail негативно впливає на клієнти і версії сервера Windows.
- ІТ-компанії, військові та оборонні організації були одними з найбільш постраждалих від зловмисного програмного забезпечення.
- За атакою на сервери стояв IronHusky.
За словами дослідників безпеки, за допомогою експлойту привілеїв нульового дня китайські хакери змогли атакувати ІТ-компанії та оборонних підрядників.
На основі інформації, зібраної дослідниками Kaspersky, група APT змогла використати вразливість нульового дня у драйвері ядра Windows Win32K при розробці нового трояна RAT. Експлойт нульового дня мав багато рядків налагодження з попередньої версії, уразливість CVE-2016-3309. У період із серпня по вересень 2021 року MysterySnail атакував кілька серверів Microsoft.
Інфраструктура командування та керування (C&C) дуже схожа на знайдений код. Саме з цієї передумови дослідники змогли пов’язати атаки з хакерською групою IronHusky. При подальших дослідженнях було встановлено, що варіанти експлойту використовувалися в масштабних кампаніях. В основному це було проти військових і оборонних організацій, а також IT-компаній.
Аналітик з безпеки повторює ті самі настрої, які поділяють дослідники з Kaspersky нижче щодо загроз, які створює IronHusky для великих організацій, які використовують зловмисне програмне забезпечення.
Дослідники в @kaspersky поділіться тим, що вони знають про #ТаємницяРавлик#щур з нами. Через свій аналіз вони приписували #зловмисне програмне забезпечення загрозливим суб’єктам, відомим як #IronHusky. https://t.co/kVt5QKS2YS#Кібербезпека#ITSecurity#InfoSec#ThreatIntel#Полювання на загрози#CVE202140449
— Лі Арчінал (@ArchinalLee) 13 жовтня 2021 року
Атака MysterySnail
MysterySnail RAT був розроблений для впливу на клієнти і версії серверів Windows, зокрема від Windows 7 і Windows Server 2008 до останніх версій. Це включає Windows 11 і Windows Server 2022. Згідно з повідомленнями Касперського, експлойт в основному націлений на клієнтські версії Windows. Тим не менш, він переважно зустрічався в системах Windows Server.
На основі інформації, зібраної дослідниками, ця вразливість пов’язана з можливістю встановлення зворотні виклики в режимі користувача та виконання неочікуваних функцій API під час їх реалізації зворотні виклики. За словами дослідників, виконання функції ResetDC вдруге викликає помилку. Це для того самого дескриптора під час виконання його зворотного виклику.
Чи постраждав на вас експлойт нульового дня MysterySnail? Дайте нам знати в розділі коментарів нижче.
