Китайско-говоряща хакерска група използва Zero Day уязвимост  в драйвера на ядрото на Windows Win32k, за да внедри неизвестен досега троянски код за отдалечен достъп (RAT). Зловредният софтуер, известен като MysterySnail, е открит от изследователи по сигурността на Kaspersky на множество сървъри на Microsoft между края на август и началото на септември 2021г.

Те също така откриха повишаване на привилегиите, насочени към недостатъка в сигурността на драйверите на Win32k, проследен като CVE-2021-40449 и закърпен от Microsoft днес, като част от кумулативните актуализации за  този месец.

„Освен намирането на уязвимостта в дивата природа, ние анализирахме полезния товар на зловреден софтуер, използван заедно с експлоатацията на тази уязвимост, и установихме, че варианти на зловредния софтуер са открити в широко разпространени шпионски кампании срещу ИТ компании, военни/отбранителни контрагенти и дипломатически организации „, казаха изследователите на Kaspersky Борис Ларин и Костин Раю. „Сходството на кода и повторното използване на C2 инфраструктурата, което открихме, ни позволи да свържем тези атаки с хакера, известен като IronHusky, и китайско-говорещата APT група, датираща от 2012г.“ Китайско-говорящият IronHusky APT е забелязан за първи път от Kaspersky през 2017г., докато разследват кампания, насочена към руски и монголски правителствени структури, авиационни компании и изследователски институти с крайна цел да събират разузнавателна информация за руско-монголските военни преговори. Една година по-късно изследователите от Kaspersky ги наблюдават как използват уязвимостта на CVE-2017-11882 на Microsoft Office с цел повреда на паметта за разпространение на RATs, обикновено използвани от китайски говорещи групи, включително PlugX и PoisonIvy.

Ескалация на привилегиите, използвана за разполагане на RATs

Експлоатацията за ескалация на привилегии, използвана за внедряване на MysterySnail RAT, разгърната в тези атаки, е насочена към клиентски и сървърни версии на Windows, от Windows 7 и Windows Server 2008 до най-новите версии, включително Windows 11 и Windows Server 2022, неизправни срещу CVE-2021-40449. Докато експлоатацията на уязвимостта, забелязана от Kaspersky в дивата природа, също поддържа насочване към клиентските версии на Windows, тя беше открита само в системите на Windows Server. MysterySnail RAT е проектиран да събира и ексфилтрира системна информация от компрометирани хостове, преди да се свърже със своя сървър за управление за допълнителни команди. MysterySnail може да изпълнява различни задачи на заразени машини, вариращи от създаване на нови процеси и убиване на вече работещи такива до стартиране на интерактивни черупки и стартиране на прокси сървър с поддръжка за до 50 едновременни връзки.

„Самият зловреден софтуер не е много сложен и има функционалност, подобна на много други “, добавят двамата изследователи. „Но все пак някак се откроява, със сравнително голям брой внедрени команди и допълнителни възможности като мониторинг за вмъкнати дискови устройства и възможност да действа като прокси.“

Източник: По материали от Интернет
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email

Подобни публикации

15 януари 2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕНТА НА ПОЛСКАТА АРМИ...

Над 1,7 милиона класифицирани документа, свързани с всички аспекти ...
14 януари 2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИТЕ ИЗЧИСЛЕНИЯ

Като част от плановете си след Brexit, премиерът Борис Джонсън обяв...
8 януари 2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАКВАНЕ ПРЕЗ НОВАТА ГОДИНА

Целите, които си поставяте за  за Новата година са високи! Една от ...
7 януари 2022

ХАКЕРИ ИЗПОЛЗВАТ ВИДЕОПЛЕЙЪР, ЗА ДА КРАДАТ КРЕД...

Хакери използваха облачна видео хостинг услуга, за да извършат атак...
24 декември 2021

7 КОЛЕДНИ ИЗМАМИ

Коледа би трябвало да е време на радост и доброта, но за съжаление ...
23 декември 2021

РАЗРАБОТЧИЦИТЕ НА ВАКСИНИ СРЕЩУ COVID СА ПОДЛОЖ...

Вече повече от година, производителите на продукти за киберсигурнос...
17 декември 2021

EVIL TWIN ATTACK - КАКВО ПРЕДСТАВЛЯВА

Evil Twin Attack  е кибератака за измама, която работи, като подмам...

Мнения и коментари

(0.0)
0.0/5
{{ reviewsTotal }} Review
{{ reviewsTotal }} Reviews
{{ options.labels.newReviewButton }}
{{ userData.canReview.message }}
Бъдете социални
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email
Още по темата
07/01/2022

ХАКЕРИ ИЗПОЛЗВАТ ВИДЕОПЛЕЙЪ...

Хакери използваха облачна видео хостинг услуга,...
23/12/2021

РАЗРАБОТЧИЦИТЕ НА ВАКСИНИ С...

Вече повече от година, производителите на...
17/12/2021

EVIL TWIN ATTACK - КАКВО ПР...

Evil Twin Attack  е кибератака за...
Последно добавени
15/01/2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕ...

Над 1,7 милиона класифицирани документа, свързани...
14/01/2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИ...

Като част от плановете си след...
08/01/2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАК...

Целите, които си поставяте за  за...
Ключови думи