Microsoft laver nul-dages misbrug i MysterySnail RAT-angreb

I gårsdagens patch-tirsdag lappede Microsoft 71 sårbarheder og en håndfuld nul-dages fejl i sine produkter. En af de sårbarheder, der var patched, var en fejl i eskaleringsprivilegier, der angiveligt allerede blev brugt i naturen til at sprede et ondsindet værktøj kaldet MysterySnail.

MysterySnail -malware er blevet identificeret som en fjernadgangstrojan eller RAT. Ifølge sikkerhedsforskere er MysterySnail blevet brugt i cyberspionage -angreb målrettet vestlige enheder. Blandt målene er it -firmaer og forsvarsentreprenører.

Tidligere i 2021 blev MysterySnail brugt i en række angreb mod disse mål. Forskere mener, at angrebene stammer fra en kinesisktalende avanceret vedvarende trusselsaktør, sandsynligvis den med kodenavnet IronHusky.

Angrebene var rettet mod dengang upatchede Microsoft Windows-serversystemer. Sårbarheden misbrugt i angrebene er blevet markeret som CVE-2021-40449 og beskrives som en Win32k Elevation of Privilege.

Grunden til, at forskere mener, at angrebene var IronHusky APT's arbejde, er, at der var bidder af meget lignende kode i nyttelasten til MysterySnail fjernadgangstrojaner. Malware brugte også kommando- og kontrolserverinfrastruktur, der normalt bruges af IronHusky, bemærkede forskere.

Selvom MysterySnail RAT ikke er særlig sofistikeret efter de fleste standarder, indeholder den kommandofunktioner, der gør det muligt at lukke systemprocesser, håndtere filer på offersystemet, åbne nye proxy -forbindelser og oprette nye processer i henhold til operatørernes behov.

Den involverede sårbarhed beskrives også som en fejl, der er brug efter-fri, og som findes i Win32k-kernen. Problemer efter brug er relateret til forkert brug og frigørelse af hukommelse under programdrift.