Microsoft oppdaterer null-dagers misbruk i MysterySnail RAT-angrep

I gårsdagens patch-tirsdag lappet Microsoft 71 sårbarheter og en håndfull null-dagers feil i produktene. En av sårbarhetene som ble reparert, var en opptrappingsfeil for privilegier som angivelig allerede ble brukt i naturen for å spre et ondsinnet verktøy som heter MysterySnail.

MysterySnail -skadelig programvare er identifisert som en trojansk for ekstern tilgang eller RAT. Ifølge sikkerhetsforskere har MysterySnail blitt brukt i angrep mot cyberespionage rettet mot vestlige enheter. Blant målene er IT -firmaer og forsvarsentreprenører.

Tidligere i 2021 ble MysterySnail brukt i en serie angrep mot disse målene. Forskere mener angrepene stammer fra en kinesisktalende avansert vedvarende trusselaktør, sannsynligvis den som er kodenavnet IronHusky.

Angrepene var rettet mot Microsoft Windows-serversystemer som ikke var oppdaterte. Sårbarheten som ble misbrukt i angrepene er blitt merket som CVE-2021-40449 og beskrives som en Win32k Elevation of Privilege.

Grunnen til at forskere tror angrepene var arbeidet til IronHusky APT er at det var biter med veldig lik kode i nyttelasten til MysterySnail fjerntilgangstrojaner. Skadelig programvare brukte også kommando- og kontrollserverinfrastruktur som vanligvis brukes av IronHusky, la forskere merke til.

Selv om MysterySnail RAT ikke er spesielt sofistikert etter de fleste standarder, inneholder den kommandofunksjoner som lar den stenge systemprosesser, håndtere filer på offersystemet, åpne nye proxy -tilkoblinger og opprette nye prosesser i henhold til behovene til operatørene.

Sårbarheten som er involvert beskrives også som en bruk-etter-gratis feil som ligger i Win32k-kjernen. Problemer etter bruk er relatert til feil bruk og frigjøring av minne i programdriften.

October 13, 2021