MisterySnail RAT jest skierowany do firm IT i wykonawców usług obronnych

MysterySnail RAT to nowy szkodliwy program atakujący systemy Windows. Działa od sierpnia 2021 roku, a jego operatorzy wykorzystują luki dnia zerowego w wersjach systemu Microsoft Windows. Najnowsza luka to CVE-2021-40449, ale przestępcy polegają również na starszych exploitach, przed którymi niektóre systemy mogą nie być chronione – na przykład CVE-2016-3309.

Po odkryciu MysterySnail RAT naukowcy byli w stanie zidentyfikować ten sam ładunek w starszych atakach, których celem były firmy informatyczne, podmioty dyplomatyczne i kontrahenci z sektora wojskowego i obronnego. Podobno niedawne użycie MysterySnail RAT można przypisać chińskiemu aktorowi Advanced Persistent Threat (APT), znanemu jako Iron Husky .

MisterySnail RAT używa losowo wygenerowanego kodu do zaciemniania

Często twórcy złośliwego oprogramowania starają się, aby ich ładunki były jak najlżejsze. Zmniejsza to uwagę, którą przyciągają, a także może umożliwić im latanie pod radarem określonych narzędzi bezpieczeństwa. MysterySnail RAT jest dość masywny pod względem rozmiaru – jego plik wykonywalny ma ponad 8 MB. Jednak osoby atakujące wykorzystują dodatkową przestrzeń dyskową do przechowywania losowo wygenerowanego kodu, którego celem jest zaciemnienie prawdziwej, groźnej natury plików wykonywalnych. To może być powód, dla którego MysterySnail RAT został właśnie teraz zidentyfikowany i prawidłowo wypreparowany.

Kiedy MysterySnail RAT infekuje maszynę, gromadzi i wysyła informacje do serwera atakującego. Dane te obejmują nazwę komputera i nazwę użytkownika, dokładną wersję systemu Windows używaną przez system oraz jego lokalny adres IP. Przestępcy są w stanie wysyłać zdalne polecenia do obsługi implantu i kazać mu wykonywać zadania, które obsługuje: