Hacking | Čína | Kaspersky Lab

Záludný čínský malware MysterySnail útočí na počítače s Windows bez posledních záplat

Čínská hackerská skupina zneužívá zranitelnost v operačních systémech Windows. Instaluje do nich dosud neznámého trojského koně, umožňujícího následný vzdálený přístup. Malware, označovaný jako MysterySnail, objevili bezpečnostní experti společnosti Kaspersky na několika serverech v období od konce srpna do začátku září 2021.

Kromě toho odhalili také zneužití, spočívající v získání zvýšených uživatelských oprávnění, které se zaměřuje na bezpečnostní chybu ovladače Win32k evidovanou jako CVE-2021-40449. Tento bezpečnostní nedostatek Microsoft opravil v rámci říjnového záplatovacího úterý.

Malware MysterySnail

„Kromě nálezu zero-day chyby jsme analyzovali funkce používaného malwaru a zjistili jsme, že varianty tohoto škodlivého kódu byly zjištěny v rozsáhlých špionážních kampaních proti IT společnostem, vojenským/obranným dodavatelům a diplomatickým subjektům,“ uvedli experti společnosti Kaspersky Boris Larin a Costin Raiu.

Podobnost kódu a opakované použití infrastruktury C2 spojily tyto útoky se skupinou označovanou jako IronHusky a čínskými hackery, známými útoky z roku 2012. Hackerská skupina IronHusky byla poprvé zachycena v roce 2017 při vyšetřování kampaně zaměřené na ruské a mongolské vládní subjekty, letecké společnosti a výzkumné ústavy s cílem shromažďovat zpravodajské informace o rusko-mongolských vojenských jednáních.

Snaha o zisk zvýšených oprávnění k nasazení malwaru MysterySnail se zaměřuje na klientské a serverové verze systému Windows, od Windows 7 a Windows Server 2008 až po nejnovější verze včetně Windows 11 a Windows Server 2022, které nemají nainstalovanou opravu proti chybě CVE-2021-40449.

Dálkové ovládání hackery

Trojan MysterySnail je navržen tak, aby získával a shromažďoval systémové informace z napadených strojů a poté očekával další příkazy z řídicího serveru. Hackeři tak v případě úspěšného průniku získávají nad počítačem téměř úplnou kontrolu.

MysterySnail může na infikovaných počítačích provádět různé úlohy, od spouštění nových procesů a ukončování běžících procesů až po spouštění interaktivních shellů a proxy serveru s podporou až 50 současných připojení.

„Samotný malware není příliš sofistikovaný a má funkce podobné mnoha jiným aplikacím pro vzdálené ovládání počítačů," dodali oba výzkumníci. „Přesto však nějakým způsobem vyniká, a to poměrně velkým počtem implementovaných příkazů a dalšími schopnostmi, jako je monitorování vložených diskových jednotek a schopnost fungovat jako proxy server.“ Další technické podrobnosti a indikátory kompromitace najdete ve zprávě, kterou zveřejnila společnost Kaspersky.

Diskuze (6) Další článek: Vývoj Windows 11 pokračuje. Microsoft překreslil emoji a pro Insidery má nové tapety

Témata článku: , , , , , , , , , , , , , , , ,