Microsoft исправляет злоупотребления Zero-Day в атаках MysterySnail RAT

Во вторник патчей Microsoft исправила 71 уязвимость и несколько ошибок нулевого дня в своих продуктах. Одной из исправленных уязвимостей была ошибка повышения привилегий, которая, как сообщается, уже использовалась в дикой природе для распространения вредоносного инструмента под названием MysterySnail.

Вредоносная программа MysterySnail была идентифицирована как троян удаленного доступа или RAT. По словам исследователей безопасности, MysterySnail использовался в кибершпионажных атаках, нацеленных на западные организации. Среди целей - ИТ-компании и оборонные подрядчики.

Ранее в 2021 году MysterySnail использовался в серии атак против этих целей. Исследователи полагают, что атаки исходили от китайскоязычного продвинутого постоянного злоумышленника, вероятно, под кодовым названием IronHusky.

Атаки были нацелены на еще не исправленные серверные системы Microsoft Windows. Уязвимость, использованная в атаках, помечена как CVE-2021-40449 и описана как повышение привилегий Win32k.

Причина, по которой исследователи считают, что атаки были результатом работы APT IronHusky, заключается в том, что в полезной нагрузке трояна удаленного доступа MysterySnail были фрагменты очень похожего кода. Исследователи отметили, что вредоносная программа также использовала инфраструктуру сервера управления и контроля, которая обычно используется IronHusky.

Хотя MysterySnail RAT не особенно сложен по большинству стандартов, он включает командные возможности, которые позволяют ему отключать системные процессы, обрабатывать файлы в системе-жертве, открывать новые прокси-соединения и создавать новые процессы в соответствии с потребностями операторов.

Уязвимость также описывается как ошибка использования после освобождения, которая находится в ядре Win32k. Проблемы использования после освобождения связаны с неправильным использованием и освобождением памяти при работе программы.

October 13, 2021