Microsoft patcht zero-day misbruikt in MysterySnail RAT-aanvallen

In de Patch Tuesday van gisteren heeft Microsoft 71 kwetsbaarheden en een handvol zero-day bugs in zijn producten gepatcht. Een van de kwetsbaarheden die werden gepatcht, was een bug met betrekking tot escalatie van bevoegdheden die naar verluidt al in het wild werd gebruikt om een kwaadaardige tool genaamd MysterySnail te verspreiden.

De MysterySnail-malware is geïdentificeerd als een trojan voor externe toegang of RAT. Volgens beveiligingsonderzoekers is MysterySnail gebruikt bij cyberspionage-aanvallen gericht op westerse entiteiten. Onder de doelwitten bevinden zich IT-bedrijven en defensie-aannemers.

Eerder in 2021 werd MysterySnail gebruikt in een reeks aanvallen op die doelen. Onderzoekers geloven dat de aanvallen afkomstig waren van een Chinees sprekende geavanceerde aanhoudende dreigingsactor, waarschijnlijk degene met de codenaam IronHusky.

De aanvallen waren gericht op Microsoft Windows-serversystemen die toen nog niet waren gepatcht. De kwetsbaarheid die bij de aanvallen is misbruikt, is gemarkeerd als CVE-2021-40449 en wordt beschreven als een Win32k Elevation of Privilege.

De reden waarom onderzoekers denken dat de aanvallen het werk waren van de IronHusky APT, is dat er stukjes zeer vergelijkbare code in de lading van de MysterySnail-trojan voor externe toegang zaten. De malware maakte ook gebruik van de command and control-serverinfrastructuur die normaal gesproken door IronHusky wordt gebruikt, merkten onderzoekers op.

Hoewel de MysterySnail RAT volgens de meeste normen niet bijzonder geavanceerd is, bevat het wel opdrachtmogelijkheden waarmee het systeemprocessen kan afsluiten, bestanden op het slachtoffersysteem kan verwerken, nieuwe proxyverbindingen kan openen en nieuwe processen kan creëren volgens de behoeften van de operators.

De betrokken kwetsbaarheid wordt ook beschreven als een 'use-after-free'-bug die zich in de Win32k-kernel bevindt. Gebruik-na-vrij-problemen houden verband met onjuist gebruik en het vrijmaken van geheugen tijdens de werking van het programma.

October 13, 2021