Το MisterySnail RAT στοχεύει σε εταιρείες πληροφορικής και υπεργολάβους άμυνας

Το MysterySnail RAT είναι ένα νέο κομμάτι κακόβουλου λογισμικού που στοχεύει σε συστήματα Windows. Είναι ενεργό από τον Αύγουστο του 2021 και οι χειριστές του εκμεταλλεύονται ευπάθειες μηδενικών ημερών στις εκδόσεις των Microsoft Windows. Η τελευταία ευπάθεια είναι η CVE-2021-40449, αλλά οι εγκληματίες βασίζονται επίσης σε παλαιότερες εκμεταλλεύσεις από τις οποίες ενδέχεται να μην προστατεύονται ορισμένα συστήματα-όπως το CVE-2016-3309.

Μετά την ανακάλυψη του MysterySnail RAT, οι ερευνητές μπόρεσαν να εντοπίσουν το ίδιο ωφέλιμο φορτίο σε παλαιότερες επιθέσεις που στόχευαν εταιρείες πληροφορικής, διπλωματικές οντότητες και εργολάβους που εμπλέκονται στον στρατιωτικό και αμυντικό τομέα. Φαίνεται ότι η πρόσφατη χρήση του MysterySnail RAT μπορεί να αποδοθεί στον κινέζικο ηθοποιό Advanced Persistent Threat (APT), γνωστός ως Iron Husky .

Ο RAT MisterySnail χρησιμοποιεί τυχαία δημιουργημένο κώδικα για συσκότιση

Συχνά, οι προγραμματιστές κακόβουλου λογισμικού στοχεύουν να κάνουν το ωφέλιμο φορτίο τους όσο το δυνατόν πιο ελαφρύ. Αυτό μειώνει την προσοχή που προσελκύουν και μπορεί επίσης να τους επιτρέψει να πετάξουν κάτω από το ραντάρ συγκεκριμένων εργαλείων ασφαλείας. Το MysterySnail RAT είναι αρκετά χοντρό σε μέγεθος - το εκτελέσιμο του είναι πάνω από 8MB. Ωστόσο, οι επιτιθέμενοι χρησιμοποιούν τον επιπλέον χώρο αποθήκευσης για να αποθηκεύσουν έναν τυχαία δημιουργημένο κώδικα, ο οποίος στοχεύει στην αποκάλυψη της πραγματικής, απειλητικής φύσης των εκτελέσιμων αρχείων. Αυτός μπορεί να είναι ο λόγος για τον οποίο το MysterySnail RAT εντοπίστηκε και αναλύθηκε σωστά μόλις τώρα.

Όταν το MysterySnail RAT μολύνει ένα μηχάνημα, θα συγκεντρώσει και θα στείλει πληροφορίες στον διακομιστή του εισβολέα. Αυτά τα δεδομένα περιλαμβάνουν το όνομα και το όνομα χρήστη του υπολογιστή, την ακριβή έκδοση των Windows που χρησιμοποιεί το σύστημα και την τοπική διεύθυνση IP του. Οι εγκληματίες μπορούν να στείλουν απομακρυσμένες εντολές για τη λειτουργία του εμφυτεύματος και να του πουν να εκτελέσει τις εργασίες που υποστηρίζει:

• Έναρξη και κλείσιμο διαδικασιών.
• Λάβετε δεδομένα σκληρού δίσκου, διαμερίσματα, φακέλους και πληροφορίες αρχείων.
• Ανεβάστε και εκτελέστε αρχεία.
• Τροποποιήστε το σύστημα αρχείων.
• Βάλτε το εμφύτευμα να κοιμηθεί για καθορισμένο χρόνο.
• Ανοίξτε μια σύνδεση διακομιστή μεσολάβησης.

Η ανακάλυψη του MysterySnail RAT και της υποδομής του βοήθησε τους ερευνητές κακόβουλου λογισμικού να μάθουν περισσότερα για τις τρέχουσες λειτουργίες του Iron Husky.