Microsoft Patches Zero-Day-Missbrauch bei MysterySnail RAT-Angriffen

Im gestrigen Patch Tuesday hat Microsoft 71 Sicherheitslücken und eine Handvoll Zero-Day-Bugs in seinen Produkten gepatcht. Eine der gepatchten Schwachstellen war ein Fehler bei der Rechteausweitung, der Berichten zufolge bereits in freier Wildbahn verwendet wurde, um ein bösartiges Tool namens MysterySnail zu verbreiten.

Die MysterySnail-Malware wurde als Remote-Access-Trojaner oder RAT identifiziert. Laut Sicherheitsforschern wurde MysterySnail bei Cyberspionage-Angriffen gegen westliche Unternehmen eingesetzt. Zu den Zielen zählen IT-Firmen und Rüstungsunternehmen.

Anfang 2021 wurde MysterySnail bei einer Reihe von Angriffen gegen diese Ziele eingesetzt. Forscher glauben, dass die Angriffe von einem chinesischsprachigen Advanced Persistent Threat Actor ausgingen, wahrscheinlich dem mit dem Codenamen IronHusky.

Die Angriffe richteten sich gegen damals ungepatchte Microsoft Windows-Serversysteme. Die bei den Angriffen missbrauchte Schwachstelle wurde als CVE-2021-40449 gekennzeichnet und als Win32k-Rechteerhöhung bezeichnet.

Der Grund, warum Forscher glauben, dass die Angriffe das Werk des IronHusky APT waren, liegt darin, dass sich in der Nutzlast des Remote-Access-Trojaners MysterySnail Teile von sehr ähnlichem Code befanden. Die Malware nutzte auch die Command-and-Control-Server-Infrastruktur, die normalerweise von IronHusky verwendet wird, stellten die Forscher fest.

Obwohl die MysterySnail RAT nach den meisten Standards nicht besonders ausgereift ist, enthält sie Befehlsfunktionen, die es ihr ermöglichen, Systemprozesse herunterzufahren, Dateien auf dem Opfersystem zu verarbeiten, neue Proxy-Verbindungen zu öffnen und neue Prozesse entsprechend den Anforderungen der Betreiber zu erstellen.

Die betroffene Schwachstelle wird auch als Use-After-Free-Bug beschrieben, der im Win32k-Kernel steckt. Use-after-free-Probleme beziehen sich auf unsachgemäße Verwendung und das Freigeben von Speicher im Programmbetrieb.