Microsoft Patches Zero-Day Abused in MysterySnail RAT Attacks

I gårdagens Patch Tuesday lappade Microsoft 71 sårbarheter och en handfull nolldagars buggar i sina produkter. En av sårbarheterna som var korrigerad var en upptrappning av privilegier som enligt uppgift redan användes i naturen för att sprida ett skadligt verktyg som heter MysterySnail.

MysterySnail -skadlig programvara har identifierats som en fjärråtkomst trojan eller RAT. Enligt säkerhetsforskare har MysterySnail använts i cyberspionage -attacker riktade mot västerländska enheter. Bland målen finns IT -företag och försvarsentreprenörer.

Tidigare år 2021 användes MysterySnail i en rad attacker mot dessa mål. Forskare tror att attackerna härstammar från en kinesisktalande avancerad ihållande hotaktör, troligen den som har kodenamnet IronHusky.

Attackerna var inriktade på då opatchade Microsoft Windows-serversystem. Sårbarheten som missbrukades i attackerna har flaggats som CVE-2021-40449 och beskrivs som en Win32k Elevation of Privilege.

Anledningen till att forskare tror att attackerna var IronHusky APT: s arbete är att det fanns bitar av mycket liknande kod i nyttolasten för MysterySnail fjärråtkomst trojan. Den skadliga programvaran använde också kommando- och kontrollserverinfrastruktur som vanligtvis används av IronHusky, märkte forskare.

Även om MysterySnail RAT inte är särskilt sofistikerad enligt de flesta standarder, innehåller den kommandofunktioner som gör det möjligt att stänga av systemprocesser, hantera filer på offersystemet, öppna nya proxy -anslutningar och skapa nya processer enligt operatörernas behov.

Sårbarheten som beskrivs beskrivs också som en bugg som inte är användbar efter som finns i Win32k-kärnan. Problem efter användning är relaterade till felaktig användning och frigöring av minne vid programdrift.