Kaspersky o dopadu MysterySnail na Windows.

  • Zneužívání MysterySnail zero-day negativně ovlivňuje klientské a serverové verze Windows.
  • Mezi strany nejvíce postižené malwarem patřily IT společnosti, vojenské a obranné organizace.
  • Za útokem na servery stál IronHusky.

Podle bezpečnostních výzkumníků byli čínští hackeři schopni zaútočit na IT společnosti a dodavatele obranného průmyslu s využitím nultého dne nadmořské výšky.

Na základě informací shromážděných výzkumníky společnosti Kaspersky dokázala skupina APT využít zranitelnost zero-day v ovladači jádra Windows Win32K při vývoji nového trojského koně RAT. Tento zero-day exploit měl spoustu ladicích řetězců z předchozí verze, zranitelnost CVE-2016-3309. Mezi srpnem a zářím 2021 bylo MysterySnail napadeno několik serverů společnosti Microsoft.

Infrastruktura Command and Control (C&C) je docela podobná objevenému kódu. Právě z tohoto předpokladu byli vědci schopni spojit útoky s hackerskou skupinou IronHusky. Po dalším výzkumu bylo zjištěno, že varianty exploitu byly používány ve velkých kampaních. To bylo hlavně proti armádě a obranným organizacím a také IT společnostem.

Bezpečnostní analytik opakuje stejné názory, které sdílejí výzkumníci z Kaspersky níže, ohledně hrozeb, které IronHusky představuje pro velké subjekty používající malware.

Výzkumníci v @kaspersky sdílet, co o nich vědí #MysterySnail#krysa s námi. Prostřednictvím své analýzy přisoudili #malware k ohrožení aktéry známé jako #IronHusky. https://t.co/kVt5QKS2YS#Kybernetická bezpečnost#ITBezpečnost#InfoSec#ThreatIntel#ThreatHunting#CVE202140449

— Lee Archinal (@ArchinalLee) 13. října 2021

MysterySnail útok

MysterySnail RAT byl vyvinut, aby ovlivnil verze klientů a serverů Windows, konkrétně od Windows 7 a Windows Server 2008 až po nejnovější verze. To zahrnuje Windows 11 a Windows Server 2022. Podle zpráv společnosti Kaspersky se exploit zaměřuje především na verze klientů Windows. Nicméně, to bylo převážně nalezeno na Windows Server Systems.

Na základě informací shromážděných výzkumníky tato zranitelnost pramení ze schopnosti nastavení zpětná volání v uživatelském režimu a spouštět neočekávané funkce API během jejich implementace zpětná volání. Podle výzkumníků spuštění funkce ResetDC podruhé spustí chybu. Toto je pro stejný popisovač během provádění jeho zpětného volání.

Ovlivnil vás zero-day exploit MysterySnail? Dejte nám vědět v sekci komentářů níže.

Outlook.com může být nyní výchozím e -mailovým klientem pro Windows 11

Outlook.com může být nyní výchozím e -mailovým klientem pro Windows 11Různé

Tato funkce je kompatibilní s Windows 10 i 11.V aplikaci Outlook se neočekávají žádné zásadní změny.K plnému využití této funkce může být zapotřebí aktualizovaný webový prohlížeč.Pokud se do značné...

Přečtěte si více
Zprávy Microsoft nahrazeny Microsoft Start v systému Windows 11

Zprávy Microsoft nahrazeny Microsoft Start v systému Windows 11Různé

Microsoft Start nahrazuje Microsoft News.Microsoft Start přichází v novém designu, ale bude nabízet stejné služby.Cílem je i nadále vyhýbat se falešným zprávám.Microsoft je v poslední době na předn...

Přečtěte si více
Jak zakázat automatické zřizování v počítači se systémem Windows 10

Jak zakázat automatické zřizování v počítači se systémem Windows 10Různé

Pokud budete někdy potřebovat deaktivovat funkci automatického zajišťování TPM, můžete to udělat během několika minut.Automatické zřizování lze vypnout pouze jedním restartem nebo trvale, pokud se ...

Přečtěte si více