Китайско-говоряща хакерска група използва Zero Day уязвимост  в драйвера на ядрото на Windows Win32k, за да внедри неизвестен досега троянски код за отдалечен достъп (RAT). Зловредният софтуер, известен като MysterySnail, е открит от изследователи по сигурността на Kaspersky на множество сървъри на Microsoft между края на август и началото на септември 2021г.

Те също така откриха повишаване на привилегиите, насочени към недостатъка в сигурността на драйверите на Win32k, проследен като CVE-2021-40449 и закърпен от Microsoft днес, като част от кумулативните актуализации за  този месец.

„Освен намирането на уязвимостта в дивата природа, ние анализирахме полезния товар на зловреден софтуер, използван заедно с експлоатацията на тази уязвимост, и установихме, че варианти на зловредния софтуер са открити в широко разпространени шпионски кампании срещу ИТ компании, военни/отбранителни контрагенти и дипломатически организации „, казаха изследователите на Kaspersky Борис Ларин и Костин Раю. „Сходството на кода и повторното използване на C2 инфраструктурата, което открихме, ни позволи да свържем тези атаки с хакера, известен като IronHusky, и китайско-говорещата APT група, датираща от 2012г.“ Китайско-говорящият IronHusky APT е забелязан за първи път от Kaspersky през 2017г., докато разследват кампания, насочена към руски и монголски правителствени структури, авиационни компании и изследователски институти с крайна цел да събират разузнавателна информация за руско-монголските военни преговори. Една година по-късно изследователите от Kaspersky ги наблюдават как използват уязвимостта на CVE-2017-11882 на Microsoft Office с цел повреда на паметта за разпространение на RATs, обикновено използвани от китайски говорещи групи, включително PlugX и PoisonIvy.

Ескалация на привилегиите, използвана за разполагане на RATs

Експлоатацията за ескалация на привилегии, използвана за внедряване на MysterySnail RAT, разгърната в тези атаки, е насочена към клиентски и сървърни версии на Windows, от Windows 7 и Windows Server 2008 до най-новите версии, включително Windows 11 и Windows Server 2022, неизправни срещу CVE-2021-40449. Докато експлоатацията на уязвимостта, забелязана от Kaspersky в дивата природа, също поддържа насочване към клиентските версии на Windows, тя беше открита само в системите на Windows Server. MysterySnail RAT е проектиран да събира и ексфилтрира системна информация от компрометирани хостове, преди да се свърже със своя сървър за управление за допълнителни команди. MysterySnail може да изпълнява различни задачи на заразени машини, вариращи от създаване на нови процеси и убиване на вече работещи такива до стартиране на интерактивни черупки и стартиране на прокси сървър с поддръжка за до 50 едновременни връзки.

„Самият зловреден софтуер не е много сложен и има функционалност, подобна на много други “, добавят двамата изследователи. „Но все пак някак се откроява, със сравнително голям брой внедрени команди и допълнителни възможности като мониторинг за вмъкнати дискови устройства и възможност да действа като прокси.“

Източник: По материали от Интернет

Подобни публикации

Хакери продават личните данни на над милиард ки...

Съобщава се, че хакери са откраднали данните на около един милиард ...
4 юли 2022

Хакнаха акаунти на британската армия

Оперативната сигурност (opsec) на британската армия беше поставена ...
3 юли 2022

Оптимизация чрез профилактика

Не всички ИТ задачи отнемат години за изпълнение. Ето девет кратки,...
2 юли 2022

Глобиха Clearview AI и в Обединеното кралство

На базираната в САЩ компания е наредено да изтрие всички лични данн...

Най-добрите безплатни инструменти за премахване...

Пейзажът на заплахите за киберсигурността се развива и разширява вс...

Какво е фарминг?

Pharming е измама, която киберпрестъпниците използват, за да инстал...

Можете ли да получите част от колективното обез...

Facebook ще трябва да плати 90 милиона долара за колективно къдебно...
29 юни 2022

Украйна разби фишинг банда

Украинските сили за киберсигурност арестуваха девет души от престъп...
Бъдете социални
Още по темата
05/07/2022

Хакери продават личните дан...

Съобщава се, че хакери са откраднали...
01/07/2022

Какво е фарминг?

Pharming е измама, която киберпрестъпниците използват,...
29/06/2022

Украйна разби фишинг банда

Украинските сили за киберсигурност арестуваха девет...
Последно добавени
05/07/2022

Хакери продават личните дан...

Съобщава се, че хакери са откраднали...
04/07/2022

Хакнаха акаунти на британск...

Оперативната сигурност (opsec) на британската армия...
03/07/2022

Оптимизация чрез профилактика

Не всички ИТ задачи отнемат години...
Ключови думи