Търсене
Close this search box.

КИТАЙСКИ ХАКЕРИ ИЗПОЛЗВАТ НОВА УЯЗВИМОСТ В WINDOWS

Китайско-говоряща хакерска група използва Zero Day уязвимост  в драйвера на ядрото на Windows Win32k, за да внедри неизвестен досега троянски код за отдалечен достъп (RAT). Зловредният софтуер, известен като MysterySnail, е открит от изследователи по сигурността на Kaspersky на множество сървъри на Microsoft между края на август и началото на септември 2021г.

Те също така откриха повишаване на привилегиите, насочени към недостатъка в сигурността на драйверите на Win32k, проследен като CVE-2021-40449 и закърпен от Microsoft днес, като част от кумулативните актуализации за  този месец.

„Освен намирането на уязвимостта в дивата природа, ние анализирахме полезния товар на зловреден софтуер, използван заедно с експлоатацията на тази уязвимост, и установихме, че варианти на зловредния софтуер са открити в широко разпространени шпионски кампании срещу ИТ компании, военни/отбранителни контрагенти и дипломатически организации „, казаха изследователите на Kaspersky Борис Ларин и Костин Раю. „Сходството на кода и повторното използване на C2 инфраструктурата, което открихме, ни позволи да свържем тези атаки с хакера, известен като IronHusky, и китайско-говорещата APT група, датираща от 2012г.“ Китайско-говорящият IronHusky APT е забелязан за първи път от Kaspersky през 2017г., докато разследват кампания, насочена към руски и монголски правителствени структури, авиационни компании и изследователски институти с крайна цел да събират разузнавателна информация за руско-монголските военни преговори. Една година по-късно изследователите от Kaspersky ги наблюдават как използват уязвимостта на CVE-2017-11882 на Microsoft Office с цел повреда на паметта за разпространение на RATs, обикновено използвани от китайски говорещи групи, включително PlugX и PoisonIvy.

Ескалация на привилегиите, използвана за разполагане на RATs

Експлоатацията за ескалация на привилегии, използвана за внедряване на MysterySnail RAT, разгърната в тези атаки, е насочена към клиентски и сървърни версии на Windows, от Windows 7 и Windows Server 2008 до най-новите версии, включително Windows 11 и Windows Server 2022, неизправни срещу CVE-2021-40449. Докато експлоатацията на уязвимостта, забелязана от Kaspersky в дивата природа, също поддържа насочване към клиентските версии на Windows, тя беше открита само в системите на Windows Server. MysterySnail RAT е проектиран да събира и ексфилтрира системна информация от компрометирани хостове, преди да се свърже със своя сървър за управление за допълнителни команди. MysterySnail може да изпълнява различни задачи на заразени машини, вариращи от създаване на нови процеси и убиване на вече работещи такива до стартиране на интерактивни черупки и стартиране на прокси сървър с поддръжка за до 50 едновременни връзки.

„Самият зловреден софтуер не е много сложен и има функционалност, подобна на много други “, добавят двамата изследователи. „Но все пак някак се откроява, със сравнително голям брой внедрени команди и допълнителни възможности като мониторинг за вмъкнати дискови устройства и възможност да действа като прокси.“

Източник: По материали от Интернет

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
24/07/2024

Юлските актуализации за сиг...

Microsoft предупреди, че след инсталирането на...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
23/07/2024

Гърция пребори успешно въл...

Агенцията за поземлен регистър в Гърция...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!