MisterySnail RAT riktar in sig på IT -företag och försvarsentreprenörer

MysterySnail RAT är en ny del av skadlig kod som riktar sig till Windows -system. Det har varit aktivt sedan augusti 2021 och operatörerna utnyttjar nolldagars sårbarheter i Microsoft Windows-versioner. Den senaste sårbarheten är CVE-2021-40449, men kriminella förlitar sig också på äldre bedrifter som vissa system kanske inte skyddas mot-till exempel CVE-2016-3309.

Efter upptäckten av MysterySnail RAT kunde forskare identifiera samma nyttolast i äldre attacker som riktade sig till IT -företag, diplomatiska enheter och entreprenörer som är inblandade i militär- och försvarssektorn. Påstås att den senaste användningen av MysterySnail RAT kan tillskrivas den kinesiskbaserade skådespelaren Advanced Persistent Threat (APT), känd som Iron Husky .

MisterySnail RAT använder slumpmässigt genererad kod för obfuscation

Ofta siktar utvecklare mot skadlig kod på att göra sina nyttolaster så lätta som möjligt. Detta minskar uppmärksamheten de lockar och kan också göra det möjligt för dem att flyga under radarn för specifika säkerhetsverktyg. MysterySnail RAT är ganska tjock när det gäller storlek - dess körbara är över 8 MB. Angriparna använder dock det extra lagringsutrymmet för att lagra en slumpmässigt genererad kod, som syftar till att dölja de körbara filernas sanna, hotfulla natur. Detta kan vara anledningen till att MysterySnail RAT identifierades och dissekerades ordentligt just nu.

När MysterySnail RAT infekterar en maskin kommer den att samla in och skicka information till angriparens server. Dessa data inkluderar datorns namn och användarnamn, den exakta Windows -version som systemet använder och dess lokala IP -adress. Kriminella kan skicka fjärrkommandon för att hantera implantatet och berätta för dem att utföra de uppgifter som det stöder: