微软修补 MysterySnail RAT 攻击中滥用的零日漏洞

在昨天的补丁星期二中,微软修补了其产品中的 71 个漏洞和一些零日漏洞。修补的漏洞之一是权限提升漏洞,据报道该漏洞已被广泛用于传播名为 MysterySnail 的恶意工具。

MysterySnail 恶意软件已被识别为远程访问木马或 RAT。据安全研究人员称,MysterySnail 已被用于针对西方实体的网络间谍攻击。目标包括 IT 公司和国防承包商。

2021 年初,MysterySnail 被用于针对这些目标的一系列攻击。研究人员认为,这些攻击源自一名讲中文的高级持续威胁行为者,可能是代号为 IronHusky 的人。

这些攻击针对的是当时未打补丁的 Microsoft Windows 服务器系统。在攻击中滥用的漏洞已被标记为 CVE-2021-40449,并被描述为 Win32k 特权提升。

研究人员之所以认为这些攻击是 IronHusky APT 所为,是因为 MysterySnail 远程访问木马的有效载荷中有大量非常相似的代码。研究人员注意到,该恶意软件还利用了 IronHusky 通常使用的命令和控制服务器基础设施。

尽管按照大多数标准,MysterySnail RAT 并不是特别复杂,但它确实包含命令功能,允许它关闭系统进程、处理受害系统上的文件、打开新的代理连接并根据操作员的需要创建新进程。

所涉及的漏洞也被描述为驻留在 Win32k 内核中的释放后使用错误。释放后使用问题与程序操作中的不当使用和释放内存有关。

October 13, 2021