MisterySnail RAT retter seg mot IT -selskaper og forsvarsentreprenører

MysterySnail RAT er et nytt stykke skadelig programvare rettet mot Windows -systemer. Den har vært aktiv siden august 2021, og operatørene utnytter null-dagers sårbarheter i Microsoft Windows-versjoner. Den siste sårbarheten er CVE-2021-40449, men kriminelle er også avhengige av eldre bedrifter som noen systemer kanskje ikke er beskyttet mot-for eksempel CVE-2016-3309.

Etter oppdagelsen av MysterySnail RAT, var forskere i stand til å identifisere den samme nyttelasten i eldre angrep som var rettet mot IT -selskaper, diplomatiske enheter og entreprenører involvert i militær- og forsvarssektoren. Angivelig kan den siste bruken av MysterySnail RAT tilskrives den kinesiskbaserte skuespilleren Advanced Persistent Threat (APT) kjent som Iron Husky .

MisterySnail RAT bruker tilfeldig generert kode for obfuscation

Ofte har malwareutviklere som mål å gjøre nyttelastene så lette som mulig. Dette reduserer oppmerksomheten de tiltrekker seg, og kan også gjøre dem i stand til å fly under radaren til spesifikke sikkerhetsverktøy. MysterySnail RAT er ganske tykk når det gjelder størrelse - den kjørbare er over 8 MB. Angriperne bruker imidlertid den ekstra lagringsplassen til å lagre en tilfeldig generert kode, som har som mål å skjule den eksakte, truende naturen til de kjørbare filene. Dette kan være grunnen til at MysterySnail RAT ble identifisert og dissekert riktig akkurat nå.

Når MysterySnail RAT infiserer en maskin, vil den samle og sende informasjon til angriperens server. Disse dataene inkluderer datamaskinens navn og brukernavn, den eksakte Windows -versjonen som systemet bruker, og dens lokale IP -adresse. Kriminelle er i stand til å sende fjernkommandoer for å betjene implantatet, og be det om å utføre oppgavene det støtter: