MisterySnail RAT нацелена на ИТ-компании и оборонных подрядчиков
MysterySnail RAT - это новое вредоносное ПО, нацеленное на системы Windows. Он действует с августа 2021 года, и его операторы используют уязвимости нулевого дня в версиях Microsoft Windows. Последняя уязвимость - CVE-2021-40449, но преступники также полагаются на более старые эксплойты, от которых некоторые системы могут не быть защищены, например CVE-2016-3309.
После открытия MysterySnail RAT исследователи смогли идентифицировать ту же полезную нагрузку в старых атаках, нацеленных на ИТ-компании, дипломатические учреждения и подрядчиков, задействованных в военном и оборонном секторах. Предположительно, недавнее использование MysterySnail RAT может быть связано с китайским актером Advanced Persistent Threat (APT), известным как Iron Husky .
MisterySnail RAT использует случайно сгенерированный код для обфускации
Часто разработчики вредоносных программ стремятся максимально облегчить свои полезные нагрузки. Это снижает внимание, которое они привлекают, а также может позволить им оставаться незамеченными для определенных инструментов безопасности. MysterySnail RAT довольно коренастый с точки зрения размера - его исполняемый файл имеет размер более 8 МБ. Однако злоумышленники используют дополнительное пространство для хранения случайно сгенерированного кода, который стремится скрыть истинный, угрожающий характер исполняемых файлов. Это могло быть причиной того, что MysterySnail RAT был правильно идентифицирован и препарирован только что.
Когда MysterySnail RAT заражает машину, она собирает и отправляет информацию на сервер злоумышленника. Эти данные включают имя компьютера и имя пользователя, точную версию Windows, которую использует система, и его локальный IP-адрес. Преступники могут отправлять удаленные команды для управления имплантатом и приказывать ему выполнять поддерживаемые им задачи:
- Запуск и завершение процессов.
- Получите данные жесткого диска, разделы, папки и информацию о файлах.
- Загрузите и запустите файлы.
- Измените файловую систему.
- Уложите имплантат в режим сна на определенное время.
- Откройте прокси-соединение.
Обнаружение MysterySnail RAT и его инфраструктуры помогло исследователям вредоносных программ больше узнать о текущих операциях Iron Husky.