Китайско-говоряща хакерска група използва Zero Day уязвимост  в драйвера на ядрото на Windows Win32k, за да внедри неизвестен досега троянски код за отдалечен достъп (RAT). Зловредният софтуер, известен като MysterySnail, е открит от изследователи по сигурността на Kaspersky на множество сървъри на Microsoft между края на август и началото на септември 2021г.

Те също така откриха повишаване на привилегиите, насочени към недостатъка в сигурността на драйверите на Win32k, проследен като CVE-2021-40449 и закърпен от Microsoft днес, като част от кумулативните актуализации за  този месец.

„Освен намирането на уязвимостта в дивата природа, ние анализирахме полезния товар на зловреден софтуер, използван заедно с експлоатацията на тази уязвимост, и установихме, че варианти на зловредния софтуер са открити в широко разпространени шпионски кампании срещу ИТ компании, военни/отбранителни контрагенти и дипломатически организации „, казаха изследователите на Kaspersky Борис Ларин и Костин Раю. „Сходството на кода и повторното използване на C2 инфраструктурата, което открихме, ни позволи да свържем тези атаки с хакера, известен като IronHusky, и китайско-говорещата APT група, датираща от 2012г.“ Китайско-говорящият IronHusky APT е забелязан за първи път от Kaspersky през 2017г., докато разследват кампания, насочена към руски и монголски правителствени структури, авиационни компании и изследователски институти с крайна цел да събират разузнавателна информация за руско-монголските военни преговори. Една година по-късно изследователите от Kaspersky ги наблюдават как използват уязвимостта на CVE-2017-11882 на Microsoft Office с цел повреда на паметта за разпространение на RATs, обикновено използвани от китайски говорещи групи, включително PlugX и PoisonIvy.

Ескалация на привилегиите, използвана за разполагане на RATs

Експлоатацията за ескалация на привилегии, използвана за внедряване на MysterySnail RAT, разгърната в тези атаки, е насочена към клиентски и сървърни версии на Windows, от Windows 7 и Windows Server 2008 до най-новите версии, включително Windows 11 и Windows Server 2022, неизправни срещу CVE-2021-40449. Докато експлоатацията на уязвимостта, забелязана от Kaspersky в дивата природа, също поддържа насочване към клиентските версии на Windows, тя беше открита само в системите на Windows Server. MysterySnail RAT е проектиран да събира и ексфилтрира системна информация от компрометирани хостове, преди да се свърже със своя сървър за управление за допълнителни команди. MysterySnail може да изпълнява различни задачи на заразени машини, вариращи от създаване на нови процеси и убиване на вече работещи такива до стартиране на интерактивни черупки и стартиране на прокси сървър с поддръжка за до 50 едновременни връзки.

„Самият зловреден софтуер не е много сложен и има функционалност, подобна на много други “, добавят двамата изследователи. „Но все пак някак се откроява, със сравнително голям брой внедрени команди и допълнителни възможности като мониторинг за вмъкнати дискови устройства и възможност да действа като прокси.“