MiserySnail RAT 以 IT 公司和国防承包商为目标
MysterySnail RAT 是一种针对 Windows 系统的新型恶意软件。它自 2021 年 8 月以来一直活跃,其运营商正在利用 Microsoft Windows 版本中的零日漏洞。最新的漏洞是 CVE-2021-40449,但犯罪分子还依赖于某些系统可能无法抵御的旧漏洞利用,例如 CVE-2016-3309。
在发现 MysterySnail RAT 后,研究人员能够在针对 IT 公司、外交实体以及涉及军事和国防部门的承包商的较旧攻击中识别出相同的有效载荷。据称,最近对 MysterySnail RAT 的使用可能归因于名为Iron Husky的中国高级持续威胁 (APT) 演员。
MisterySnail RAT 使用随机生成的代码进行混淆
通常,恶意软件开发人员的目标是使他们的有效负载尽可能轻。这减少了他们吸引的注意力,并且还可以使他们在特定安全工具的雷达下飞行。 MysterySnail RAT 的大小非常庞大——它的可执行文件超过 8MB。然而,攻击者正在使用额外的存储空间来存储随机生成的代码,其目的是混淆可执行文件的真实威胁性质。这可能就是为什么 MysterySnail RAT 刚刚被正确识别和解剖的原因。
当 MysterySnail RAT 感染一台机器时,它会收集信息并将其发送到攻击者的服务器。此数据包括计算机的名称和用户名、系统使用的确切 Windows 版本及其本地 IP 地址。犯罪分子能够发送远程命令来操作植入物,并告诉它执行它支持的任务:
- 启动和关闭进程。
- 获取硬盘数据、分区、文件夹和文件信息。
- 上传和执行文件。
- 修改文件系统。
- 将植入物置于睡眠状态一段时间。
- 打开代理连接。
MysterySnail RAT 及其基础设施的发现帮助恶意软件研究人员更多地了解 Iron Husky 当前的操作。