„MisterySnail RAT“ yra skirta IT įmonėms ir gynybos rangovams
„MysterySnail RAT“ yra nauja kenkėjiškų programų dalis, skirta „Windows“ sistemoms. Ji veikia nuo 2021 m. Rugpjūčio, o jos operatoriai išnaudoja nulinės dienos pažeidžiamumą „Microsoft Windows“ versijose. Naujausias pažeidžiamumas yra CVE-2021-40449, tačiau nusikaltėliai taip pat remiasi senesniais išnaudojimais, nuo kurių kai kurios sistemos gali būti neapsaugotos, pvz., CVE-2016-3309.
Atradę „MysterySnail RAT“, tyrėjai sugebėjo nustatyti tą pačią naudingąją apkrovą senesnėse atakose, nukreiptose į IT įmones, diplomatinius subjektus ir rangovus, dalyvaujančius kariniame ir gynybos sektoriuose. Manoma, kad pastaruoju metu „MysterySnail RAT“ naudojimas gali būti priskiriamas Kinijoje įsikūrusiam „Advanced Persistent Threat“ (APT) veikėjui, žinomam kaip „ Iron Husky“ .
„MisterySnail RAT“ naudoja atsitiktinai sugeneruotą kodą
Dažnai kenkėjiškų programų kūrėjai siekia, kad jų naudingosios apkrovos būtų kuo lengvesnės. Tai sumažina jų pritraukiamą dėmesį, taip pat gali leisti jiems skristi pagal specialių saugumo priemonių radarą. „MysterySnail RAT“ yra gana stambus pagal dydį - jo vykdomasis failas yra didesnis nei 8 MB. Tačiau užpuolikai naudoja papildomą saugyklos vietą, kad išsaugotų atsitiktinai sugeneruotą kodą, kuriuo siekiama užmaskuoti tikrąjį, grėsmingą vykdomųjų failų pobūdį. Tai gali būti priežastis, kodėl „MysterySnail RAT“ buvo identifikuota ir tinkamai išpjaustyta.
Kai „MysterySnail RAT“ užkrės mašiną, ji surinks ir nusiųs informaciją į užpuoliko serverį. Šie duomenys apima kompiuterio vardą ir vartotojo vardą, tikslią sistemos naudojamą „Windows“ versiją ir vietinį IP adresą. Nusikaltėliai gali siųsti nuotolines komandas implantui valdyti ir liepti jam atlikti palaikomas užduotis:
- Procesų pradžia ir uždarymas.
- Gaukite standžiojo disko duomenų, skaidinių, aplankų ir failų informaciją.
- Įkelti ir vykdyti failus.
- Pakeiskite failų sistemą.
- Nustatytą laiką užmigdykite implantą.
- Atidarykite tarpinio serverio ryšį.
„MysterySnail RAT“ ir jos infrastruktūros atradimas padėjo kenkėjiškų programų tyrėjams daugiau sužinoti apie dabartines „Iron Husky“ operacijas.