Търсене
Close this search box.

КИТАЙСКИ ХАКЕРИ ИЗПОЛЗВАТ НОВА УЯЗВИМОСТ В WINDOWS

Китайско-говоряща хакерска група използва Zero Day уязвимост  в драйвера на ядрото на Windows Win32k, за да внедри неизвестен досега троянски код за отдалечен достъп (RAT). Зловредният софтуер, известен като MysterySnail, е открит от изследователи по сигурността на Kaspersky на множество сървъри на Microsoft между края на август и началото на септември 2021г.

Те също така откриха повишаване на привилегиите, насочени към недостатъка в сигурността на драйверите на Win32k, проследен като CVE-2021-40449 и закърпен от Microsoft днес, като част от кумулативните актуализации за  този месец.

„Освен намирането на уязвимостта в дивата природа, ние анализирахме полезния товар на зловреден софтуер, използван заедно с експлоатацията на тази уязвимост, и установихме, че варианти на зловредния софтуер са открити в широко разпространени шпионски кампании срещу ИТ компании, военни/отбранителни контрагенти и дипломатически организации „, казаха изследователите на Kaspersky Борис Ларин и Костин Раю. „Сходството на кода и повторното използване на C2 инфраструктурата, което открихме, ни позволи да свържем тези атаки с хакера, известен като IronHusky, и китайско-говорещата APT група, датираща от 2012г.“ Китайско-говорящият IronHusky APT е забелязан за първи път от Kaspersky през 2017г., докато разследват кампания, насочена към руски и монголски правителствени структури, авиационни компании и изследователски институти с крайна цел да събират разузнавателна информация за руско-монголските военни преговори. Една година по-късно изследователите от Kaspersky ги наблюдават как използват уязвимостта на CVE-2017-11882 на Microsoft Office с цел повреда на паметта за разпространение на RATs, обикновено използвани от китайски говорещи групи, включително PlugX и PoisonIvy.

Ескалация на привилегиите, използвана за разполагане на RATs

Експлоатацията за ескалация на привилегии, използвана за внедряване на MysterySnail RAT, разгърната в тези атаки, е насочена към клиентски и сървърни версии на Windows, от Windows 7 и Windows Server 2008 до най-новите версии, включително Windows 11 и Windows Server 2022, неизправни срещу CVE-2021-40449. Докато експлоатацията на уязвимостта, забелязана от Kaspersky в дивата природа, също поддържа насочване към клиентските версии на Windows, тя беше открита само в системите на Windows Server. MysterySnail RAT е проектиран да събира и ексфилтрира системна информация от компрометирани хостове, преди да се свърже със своя сървър за управление за допълнителни команди. MysterySnail може да изпълнява различни задачи на заразени машини, вариращи от създаване на нови процеси и убиване на вече работещи такива до стартиране на интерактивни черупки и стартиране на прокси сървър с поддръжка за до 50 едновременни връзки.

„Самият зловреден софтуер не е много сложен и има функционалност, подобна на много други “, добавят двамата изследователи. „Но все пак някак се откроява, със сравнително голям брой внедрени команди и допълнителни възможности като мониторинг за вмъкнати дискови устройства и възможност да действа като прокси.“

Източник: По материали от Интернет

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
Бъдете социални
Още по темата
28/02/2024

Предимства на включването н...

Кибератаките се развиват и стават все...
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
27/02/2024

ThyssenKrupp потвърждава ки...

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!