微软修补 MysterySnail RAT 攻击中滥用的零日漏洞

在昨天的补丁星期二中，微软修补了其产品中的 71 个漏洞和一些零日漏洞。修补的漏洞之一是权限提升漏洞，据报道该漏洞已被广泛用于传播名为 MysterySnail 的恶意工具。

MysterySnail 恶意软件已被识别为远程访问木马或 RAT。据安全研究人员称，MysterySnail 已被用于针对西方实体的网络间谍攻击。目标包括 IT 公司和国防承包商。

2021 年初，MysterySnail 被用于针对这些目标的一系列攻击。研究人员认为，这些攻击源自一名讲中文的高级持续威胁行为者，可能是代号为 IronHusky 的人。

这些攻击针对的是当时未打补丁的 Microsoft Windows 服务器系统。在攻击中滥用的漏洞已被标记为 CVE-2021-40449，并被描述为 Win32k 特权提升。

研究人员之所以认为这些攻击是 IronHusky APT 所为，是因为 MysterySnail 远程访问木马的有效载荷中有大量非常相似的代码。研究人员注意到，该恶意软件还利用了 IronHusky 通常使用的命令和控制服务器基础设施。

尽管按照大多数标准，MysterySnail RAT 并不是特别复杂，但它确实包含命令功能，允许它关闭系统进程、处理受害系统上的文件、打开新的代理连接并根据操作员的需要创建新进程。

所涉及的漏洞也被描述为驻留在 Win32k 内核中的释放后使用错误。释放后使用问题与程序操作中的不当使用和释放内存有关。