Microsoft Patches Zero-Day Abused in MysterySnail RAT Attacks
Στο χθεσινό Patch Tuesday η Microsoft επιδιορθώνει 71 τρωτά σημεία και μια χούφτα σφάλματα μηδενικών ημερών στα προϊόντα της. Ένα από τα τρωτά σημεία που διορθώθηκε ήταν ένα σφάλμα κλιμάκωσης προνομίων που σύμφωνα με πληροφορίες είχε ήδη χρησιμοποιηθεί στην άγρια φύση για τη διάδοση ενός κακόβουλου εργαλείου που ονομάζεται MysterySnail.
Το κακόβουλο λογισμικό MysterySnail έχει αναγνωριστεί ως trojan ή RAT απομακρυσμένης πρόσβασης. Σύμφωνα με ερευνητές ασφαλείας, το MysterySnail έχει χρησιμοποιηθεί σε επιθέσεις κυβερνο -κατασκοπείας που στοχεύουν σε δυτικές οντότητες. Μεταξύ των στόχων είναι εταιρείες πληροφορικής και εργολάβοι άμυνας.
Νωρίτερα το 2021, το MysterySnail χρησιμοποιήθηκε σε μια σειρά επιθέσεων εναντίον αυτών των στόχων. Οι ερευνητές πιστεύουν ότι οι επιθέσεις προήλθαν από έναν κινέζικο προχωρημένο επίμονο ηθοποιό απειλών, πιθανότατα αυτόν που είχε την κωδική ονομασία IronHusky.
Οι επιθέσεις στοχεύουν συστήματα διακομιστών Microsoft Windows που δεν είχαν προσαρμοστεί τότε. Η ευπάθεια που καταχράστηκε στις επιθέσεις έχει επισημανθεί ως CVE-2021-40449 και περιγράφεται ως Win32k Elevation of Privilege.
Ο λόγος για τον οποίο οι ερευνητές πιστεύουν ότι οι επιθέσεις ήταν έργο του IronHusky APT είναι ότι υπήρχαν κομμάτια πολύ παρόμοιου κώδικα στο ωφέλιμο φορτίο του trojan απομακρυσμένης πρόσβασης MysterySnail. Το κακόβουλο λογισμικό έκανε επίσης χρήση της υποδομής διακομιστή εντολών και ελέγχου που συνήθως χρησιμοποιείται από το IronHusky, παρατήρησαν οι ερευνητές.
Ενώ το MysterySnail RAT δεν είναι ιδιαίτερα εξελιγμένο από τα περισσότερα πρότυπα, περιλαμβάνει δυνατότητες εντολών που του επιτρέπουν να τερματίζει τις διαδικασίες του συστήματος, να χειρίζεται αρχεία στο σύστημα θυμάτων, να ανοίγει νέες συνδέσεις διακομιστή μεσολάβησης και να δημιουργεί νέες διαδικασίες σύμφωνα με τις ανάγκες των χειριστών.
Το θέμα ευπάθειας που περιγράφεται περιγράφεται επίσης ως σφάλμα μετά τη χρήση που βρίσκεται στον πυρήνα Win32k. Τα ζητήματα χρήσης μετά το τέλος σχετίζονται με ακατάλληλη χρήση και απελευθέρωση μνήμης κατά τη λειτουργία του προγράμματος.