MiserySnail RAT 以 IT 公司和國防承包商為目標
MysterySnail RAT 是一種針對 Windows 系統的新型惡意軟件。它自 2021 年 8 月以來一直活躍,其運營商正在利用 Microsoft Windows 版本中的零日漏洞。最新的漏洞是 CVE-2021-40449,但犯罪分子還依賴於某些系統可能無法抵禦的舊漏洞利用,例如 CVE-2016-3309。
在發現 MysterySnail RAT 後,研究人員能夠在針對 IT 公司、外交實體以及涉及軍事和國防部門的承包商的較舊攻擊中識別出相同的有效載荷。據稱,最近對 MysterySnail RAT 的使用可能歸因於名為Iron Husky的中國高級持續威脅 (APT) 演員。
MisterySnail RAT 使用隨機生成的代碼進行混淆
通常,惡意軟件開發人員的目標是使他們的有效負載盡可能輕。這減少了他們吸引的注意力,並且還可以使他們在特定安全工具的雷達下飛行。 MysterySnail RAT 的大小非常龐大——它的可執行文件超過 8MB。然而,攻擊者正在使用額外的存儲空間來存儲隨機生成的代碼,其目的是混淆可執行文件的真實威脅性質。這可能就是為什麼 MysterySnail RAT 剛剛被正確識別和解剖的原因。
當 MysterySnail RAT 感染一台機器時,它會收集信息並將其發送到攻擊者的服務器。此數據包括計算機的名稱和用戶名、系統使用的確切 Windows 版本及其本地 IP 地址。犯罪分子能夠發送遠程命令來操作植入物,並告訴它執行它支持的任務:
- 啟動和關閉進程。
- 獲取硬盤數據、分區、文件夾和文件信息。
- 上傳和執行文件。
- 修改文件系統。
- 將植入物置於睡眠狀態一段時間。
- 打開代理連接。
MysterySnail RAT 及其基礎設施的發現幫助惡意軟件研究人員更多地了解 Iron Husky 當前的操作。