MisterySnail RAT нацелена на ИТ-компании и оборонных подрядчиков

MysterySnail RAT - это новое вредоносное ПО, нацеленное на системы Windows. Он действует с августа 2021 года, и его операторы используют уязвимости нулевого дня в версиях Microsoft Windows. Последняя уязвимость - CVE-2021-40449, но преступники также полагаются на более старые эксплойты, от которых некоторые системы могут не быть защищены, например CVE-2016-3309.

После открытия MysterySnail RAT исследователи смогли идентифицировать ту же полезную нагрузку в старых атаках, нацеленных на ИТ-компании, дипломатические учреждения и подрядчиков, задействованных в военном и оборонном секторах. Предположительно, недавнее использование MysterySnail RAT может быть связано с китайским актером Advanced Persistent Threat (APT), известным как Iron Husky .

MisterySnail RAT использует случайно сгенерированный код для обфускации

Часто разработчики вредоносных программ стремятся максимально облегчить свои полезные нагрузки. Это снижает внимание, которое они привлекают, а также может позволить им оставаться незамеченными для определенных инструментов безопасности. MysterySnail RAT довольно коренастый с точки зрения размера - его исполняемый файл имеет размер более 8 МБ. Однако злоумышленники используют дополнительное пространство для хранения случайно сгенерированного кода, который стремится скрыть истинный, угрожающий характер исполняемых файлов. Это могло быть причиной того, что MysterySnail RAT был правильно идентифицирован и препарирован только что.

Когда MysterySnail RAT заражает машину, она собирает и отправляет информацию на сервер злоумышленника. Эти данные включают имя компьютера и имя пользователя, точную версию Windows, которую использует система, и его локальный IP-адрес. Преступники могут отправлять удаленные команды для управления имплантатом и приказывать ему выполнять поддерживаемые им задачи: