Microsoft Patches Abuso de Dia Zero em Ataques RAT MysterySnail

Na Patch Tuesday de ontem, a Microsoft corrigiu 71 vulnerabilidades e um punhado de bugs de dia zero em seus produtos. Uma das vulnerabilidades corrigidas foi um bug de escalonamento de privilégios que supostamente já foi usado para espalhar uma ferramenta maliciosa chamada MysterySnail.

O malware MysterySnail foi identificado como um trojan de acesso remoto ou RAT. De acordo com pesquisadores de segurança, MysterySnail tem sido usado em ataques de ciberespionagem direcionados a entidades ocidentais. Entre os alvos estão empresas de TI e empreiteiras de defesa.

No início de 2021, MysterySnail foi usado em uma série de ataques contra esses alvos. Os pesquisadores acreditam que os ataques se originaram de um ator de ameaça persistente avançado que fala chinês, provavelmente aquele com o codinome IronHusky.

Os ataques tinham como alvo sistemas de servidor Microsoft Windows, então sem patch. A vulnerabilidade abusada nos ataques foi sinalizada como CVE-2021-40449 e é descrita como uma elevação de privilégio Win32k.

A razão pela qual os pesquisadores acreditam que os ataques foram obra do IronHusky APT é que havia pedaços de código muito semelhantes na carga do trojan de acesso remoto MysterySnail. O malware também fez uso da infraestrutura de servidor de comando e controle normalmente usada pelo IronHusky, observaram os pesquisadores.

Embora o MysterySnail RAT não seja particularmente sofisticado pela maioria dos padrões, ele inclui recursos de comando que permitem desligar processos do sistema, manipular arquivos no sistema da vítima, abrir novas conexões proxy e criar novos processos de acordo com as necessidades dos operadores.

A vulnerabilidade envolvida também é descrita como um bug de uso após a liberação que reside no kernel do Win32k. Os problemas de uso após liberação estão relacionados ao uso impróprio e liberação de memória na operação do programa.

October 13, 2021