Microsoft łaty Zero-Day Abused w atakach MysterySnail RAT

We wczorajszym patchu Microsoft załatał 71 luk i kilka błędów zero-day w swoich produktach. Jedną z załatanych luk był błąd eskalacji uprawnień, który podobno był już wykorzystywany w środowisku naturalnym do rozprzestrzeniania szkodliwego narzędzia o nazwie MysterySnail.

Złośliwe oprogramowanie MysterySnail zostało zidentyfikowane jako trojan zdalnego dostępu lub RAT. Według badaczy bezpieczeństwa MysterySnail był wykorzystywany w atakach cyberszpiegowskich wymierzonych w podmioty zachodnie. Wśród celów są firmy IT i kontrahenci zbrojeniowi.

Wcześniej w 2021 MysterySnail został użyty w serii ataków na te cele. Badacze uważają, że ataki zostały zainicjowane przez chińskojęzycznego zaawansowanego, uporczywego cyberprzestępcę, prawdopodobnie tego o kryptonimie IronHusky.

Ataki były wymierzone w niezałatane wówczas systemy serwerowe Microsoft Windows. Luka wykorzystana w atakach została oznaczona jako CVE-2021-40449 i jest opisana jako Win32k Elevation of Privilege.

Powodem, dla którego badacze uważają, że ataki były dziełem IronHusky APT, jest to, że w ładunku trojana zdalnego dostępu MysterySnail znajdowały się fragmenty bardzo podobnego kodu. Badacze zauważyli, że złośliwe oprogramowanie wykorzystywało również infrastrukturę serwera dowodzenia i kontroli, która jest zwykle używana przez IronHusky.

Chociaż MysterySnail RAT nie jest szczególnie wyrafinowany według większości standardów, zawiera funkcje poleceń, które pozwalają mu zamykać procesy systemowe, obsługiwać pliki w systemie ofiary, otwierać nowe połączenia proxy i tworzyć nowe procesy zgodnie z potrzebami operatorów.

Zagrożona luka jest również opisana jako błąd typu use-after-free, który znajduje się w jądrze Win32k. Problemy z użytkowaniem po zwolnieniu są związane z niewłaściwym użytkowaniem i zwalnianiem pamięci w działaniu programu.

October 13, 2021