A MisterySnail RAT az informatikai vállalatokat és a védelmi vállalkozókat célozza meg
A MysterySnail RAT egy új, rosszindulatú program, amely a Windows rendszereket célozza meg. 2021 augusztusa óta aktív, üzemeltetői kihasználják a Microsoft Windows verziók nulla napos biztonsági réseit. A legfrissebb biztonsági rés a CVE-2021-40449, de a bűnözők is régebbi kizsákmányolásokra támaszkodnak, amelyek ellen egyes rendszerek esetleg nem védettek-például a CVE-2016-3309.
A MysterySnail RAT felfedezése után a kutatók ugyanazt a hasznos terhet tudták azonosítani a régebbi támadások során, amelyek az informatikai vállalatokat, diplomáciai szervezeteket és a katonai és védelmi szektorban részt vevő vállalkozókat célozták meg. Állítólag a MysterySnail RAT legutóbbi használatát a kínai székhelyű Advanced Persistent Threat (APT) Iron Husky néven ismert színésznek tudhatjuk be.
A MisterySnail RAT véletlenszerűen generált kódot használ az elhomályosításhoz
A rosszindulatú programok fejlesztői gyakran arra törekednek, hogy hasznos terheléseiket a lehető legkönnyebbé tegyék. Ez csökkenti az általuk felkeltett figyelmet, és lehetővé teheti számukra, hogy bizonyos biztonsági eszközök radarja alatt repüljenek. A MysterySnail RAT méretét tekintve meglehetősen vaskos - a végrehajtható fájl több mint 8 MB. A támadók azonban az extra tárhelyet egy véletlenszerűen generált kód tárolására használják, amelynek célja, hogy elfedje a futtatható fájlok valódi, fenyegető jellegét. Ez lehet az oka annak, hogy a MysterySnail RAT -ot most azonosították és megfelelően boncolták.
Amikor a MysterySnail RAT megfertőz egy gépet, az összegyűjti és információkat küld a támadó szerverének. Ezek az adatok tartalmazzák a számítógép nevét és felhasználónevét, a rendszer pontos Windows verzióját és a helyi IP -címet. A bűnözők távoli parancsokat küldhetnek az implantátum működtetésére, és azt mondhatják neki, hogy hajtsa végre az általa támogatott feladatokat:
- A folyamatok elindítása és lezárása.
- Szerezzen be merevlemez -adatokat, partíciókat, mappákat és fájlokat.
- Fájlok feltöltése és végrehajtása.
- Módosítsa a fájlrendszert.
- Tegye az implantátumot aludni egy meghatározott időre.
- Nyisson proxy kapcsolatot.
A MysterySnail RAT és infrastruktúrájának felfedezése segített a rosszindulatú programokkal foglalkozó kutatóknak többet megtudni az Iron Husky jelenlegi működéséről.