MysterySnailRAT攻撃で悪用されたゼロデイパッチ

昨日のパッチ火曜日に、マイクロソフトは製品の71の脆弱性と少数のゼロデイバグにパッチを適用しました。パッチが適用された脆弱性の1つは、MysterySnailと呼ばれる悪意のあるツールを広めるためにすでに実際に使用されていると報告されている特権昇格のバグでした。

MysterySnailマルウェアは、リモートアクセス型トロイの木馬またはRATとして識別されています。セキュリティ研究者によると、MysterySnailは、西側のエンティティを標的としたサイバースパイ攻撃に使用されてきました。ターゲットには、IT企業と防衛産業の請負業者が含まれます。

2021年の初め、MysterySnailはこれらのターゲットに対する一連の攻撃で使用されました。研究者は、攻撃は中国語を話す高度な持続的脅威アクター、おそらくコードネームIronHuskyから発生したと信じています。

攻撃は、パッチが適用されていないMicrosoftWindowsサーバーシステムを標的にしていました。攻撃で悪用された脆弱性はCVE-2021-40449としてフラグが立てられ、Win32kの特権昇格として説明されています。

研究者が攻撃がIronHuskyAPTの仕事であると信じる理由は、MysterySnailリモートアクセストロイの木馬のペイロードに非常に類似したコードのチャンクがあったためです。このマルウェアは、IronHuskyが通常使用するコマンドおよび制御サーバーインフラストラクチャも利用していると研究者たちは気づきました。

MysterySnail RATはほとんどの標準で特に洗練されていませんが、システムプロセスのシャットダウン、被害者のシステム上のファイルの処理、新しいプロキシ接続のオープン、およびオペレーターのニーズに応じた新しいプロセスの作成を可能にするコマンド機能が含まれています。

関連する脆弱性は、Win32kカーネルに存在する解放後使用のバグとしても説明されています。解放後使用の問題は、プログラム操作での不適切な使用とメモリの解放に関連しています。