Patch di Microsoft Zero-Day abusate negli attacchi di MysterySnail RAT

Nel Patch Tuesday di ieri, Microsoft ha corretto 71 vulnerabilità e una manciata di bug zero-day nei suoi prodotti. Una delle vulnerabilità riparate era un bug di escalation dei privilegi che, secondo quanto riferito, era già utilizzato in natura per diffondere uno strumento dannoso chiamato MysterySnail.

Il malware MysterySnail è stato identificato come un trojan di accesso remoto o RAT. Secondo i ricercatori della sicurezza, MysterySnail è stato utilizzato in attacchi di spionaggio informatico mirati a entità occidentali. Tra gli obiettivi ci sono aziende IT e appaltatori della difesa.

All'inizio del 2021, MysterySnail è stato utilizzato in una serie di attacchi contro tali obiettivi. I ricercatori ritengono che gli attacchi abbiano avuto origine da un attore di minacce persistenti avanzate di lingua cinese, probabilmente quello con il nome in codice IronHusky.

Gli attacchi erano diretti a sistemi server Microsoft Windows senza patch. La vulnerabilità abusata negli attacchi è stata contrassegnata come CVE-2021-40449 ed è descritta come Win32k Elevation of Privilege.

Il motivo per cui i ricercatori ritengono che gli attacchi siano opera dell'APT IronHusky è che c'erano pezzi di codice molto simili nel payload del Trojan di accesso remoto MysterySnail. Il malware ha anche utilizzato l'infrastruttura del server di comando e controllo normalmente utilizzata da IronHusky, hanno notato i ricercatori.

Sebbene MysterySnail RAT non sia particolarmente sofisticato per la maggior parte degli standard, include funzionalità di comando che gli consentono di arrestare i processi di sistema, gestire i file sul sistema vittima, aprire nuove connessioni proxy e creare nuovi processi in base alle esigenze degli operatori.

La vulnerabilità coinvolta è anche descritta come un bug use-after-free che risiede nel kernel Win32k. I problemi di utilizzo dopo l'eliminazione sono legati all'uso improprio e alla liberazione di memoria durante il funzionamento del programma.

October 13, 2021