MisterySnail RATは、IT企業と防衛産業の請負業者を対象としています
MysterySnail RATは、Windowsシステムを標的とする新しいマルウェアです。 2021年8月から活動しており、そのオペレーターはMicrosoftWindowsバージョンのゼロデイ脆弱性を悪用しています。最新の脆弱性はCVE-2021-40449ですが、犯罪者は、CVE-2016-3309など、一部のシステムが保護されていない可能性のある古いエクスプロイトにも依存しています。
MysterySnail RATの発見後、研究者は、軍事および防衛部門に関与するIT企業、外交機関、請負業者を標的とした古い攻撃で同じペイロードを特定することができました。伝えられるところでは、MysterySnail RATの最近の使用方法は、として知られている中国のベースAPT攻撃(APT)の俳優に起因することがありますアイアンハスキー。
MisterySnail RATは、ランダムに生成されたコードを使用して難読化を行います
多くの場合、マルウェア開発者はペイロードをできるだけ軽くすることを目指しています。これは彼らが引き付ける注意を減らし、また彼らが特定のセキュリティツールのレーダーの下で飛ぶことを可能にするかもしれません。 MysterySnail RATは、サイズの点でかなり分厚いです–その実行可能ファイルは8MBを超えています。ただし、攻撃者は追加のストレージスペースを使用して、ランダムに生成されたコードを保存します。これは、実行可能ファイルの真の脅威的な性質を難読化することを目的としています。これが、MysterySnail RATが特定され、適切に分析された理由である可能性があります。
MysterySnail RATがマシンに感染すると、情報を収集して攻撃者のサーバーに送信します。このデータには、コンピューターの名前とユーザー名、システムが使用する正確なWindowsバージョン、およびそのローカルIPアドレスが含まれます。犯罪者は、インプラントを操作するためのリモートコマンドを送信し、インプラントがサポートするタスクを実行するように指示することができます。
- プロセスの開始と終了。
- ハードドライブのデータ、パーティション、フォルダー、およびファイルの情報を取得します。
- ファイルをアップロードして実行します。
- ファイルシステムを変更します。
- インプラントを一定時間スリープ状態にします。
- プロキシ接続を開きます。
MysterySnail RATとそのインフラストラクチャの発見は、マルウェア研究者がIronHuskyの現在の運用についてさらに学ぶのに役立ちました。