- MysterySnail zero-day exploit negativno utječe na Windows klijente i verzije poslužitelja.
- IT tvrtke, vojne i obrambene organizacije bile su među strankama koje su najviše pogođene zlonamjernim softverom.
- IronHusky je stajao iza napada na servere.
Prema sigurnosnim istraživačima, koristeći iskorištavanje privilegija elevacije nultog dana, kineski su hakeri uspjeli napasti IT tvrtke i obrambene izvođače.
Na temelju informacija koje su prikupili istraživači Kasperskyja, APT grupa uspjela je iskoristiti ranjivost nultog dana u upravljačkom programu jezgre Windows Win32K u razvoju novog RAT trojanca. Eksploatacija nultog dana imala je mnogo nizova za otklanjanje pogrešaka iz prethodne verzije, ranjivost CVE-2016-3309. Između kolovoza i rujna 2021. MysterySnail je napao nekoliko Microsoftovih poslužitelja.
Infrastruktura upravljanja i upravljanja (C&C) prilično je slična otkrivenom kodu. Iz ove premise istraživači su uspjeli povezati napade s hakerskom grupom IronHusky. Daljnjim istraživanjem ustanovljeno je da se varijante eksploatacije koriste u velikim kampanjama. To je uglavnom bilo protiv vojnih i obrambenih organizacija, kao i IT tvrtki.
Sigurnosni analitičar ponavlja iste osjećaje koje dijele istraživači iz Kasperskyja u nastavku o prijetnjama koje IronHusky predstavlja velikim subjektima koji koriste zlonamjerni softver.
Istraživači na @kaspersky podijeliti ono što znaju o #MysterySnail#štakor s nama. Svojom analizom pripisali su #malware akterima prijetnji poznatim kao #IronHusky. https://t.co/kVt5QKS2YS#CyberSecurity#ITSecurity#InfoSec#ThreatIntel#Lov na prijetnje#CVE202140449
— Lee Archinal (@ArchinalLee) 13. listopada 2021
MysterySnail napad
MysterySnail RAT je razvijen da utječe na Windows klijente i verzije poslužitelja, posebno od Windows 7 i Windows Server 2008 do najnovijih verzija. Ovo uključuje Windows 11 i Windows Server 2022. Prema izvješćima Kasperskyja, eksploatacija uglavnom cilja na verzije Windows klijenta. Ipak, pretežno se nalazio na sustavima Windows Server.
Na temelju informacija koje su prikupili istraživači, ova ranjivost proizlazi iz mogućnosti postavljanja povratne pozive u korisničkom načinu rada i izvršavanje neočekivanih API funkcija tijekom njihove implementacije povratni pozivi. Prema istraživačima, izvršavanje funkcije ResetDC po drugi put pokreće bug. Ovo se odnosi na isti ručnik tijekom izvršavanja njegovog povratnog poziva.
Je li na vas utjecalo iskorištavanje nultog dana MysterySnail? Javite nam u odjeljku za komentare u nastavku.
