微軟修補 MysterySnail RAT 攻擊中濫用的零日漏洞

在昨天的補丁星期二中,微軟修補了其產品中的 71 個漏洞和一些零日漏洞。修補的漏洞之一是權限提升漏洞,據報導該漏洞已被廣泛用於傳播名為 MysterySnail 的惡意工具。

MysterySnail 惡意軟件已被識別為遠程訪問木馬或 RAT。據安全研究人員稱,MysterySnail 已被用於針對西方實體的網絡間諜攻擊。目標包括 IT 公司和國防承包商。

2021 年初,MysterySnail 被用於針對這些目標的一系列攻擊。研究人員認為,這些攻擊源自一名講中文的高級持續威脅行為者,可能是代號為 IronHusky 的人。

這些攻擊針對的是當時未打補丁的 Microsoft Windows 服務器系統。在攻擊中濫用的漏洞已被標記為 CVE-2021-40449,並被描述為 Win32k 特權提升。

研究人員之所以認為這些攻擊是 IronHusky APT 所為,是因為 MysterySnail 遠程訪問木馬的有效載荷中有大量非常相似的代碼。研究人員注意到,該惡意軟件還利用了 IronHusky 通常使用的命令和控制服務器基礎設施。

儘管按照大多數標準,MysterySnail RAT 並不是特別複雜,但它確實包含命令功能,允許它關閉系統進程、處理受害系統上的文件、打開新的代理連接並根據操作員的需要創建新進程。

所涉及的漏洞也被描述為駐留在 Win32k 內核中的釋放後使用錯誤。釋放後使用問題與程序操作中的不當使用和釋放內存有關。

October 13, 2021