Čínská hackerská skupina zneužívá zranitelnost v operačních systémech Windows. Instaluje do nich dosud neznámého trojského koně, umožňujícího následný vzdálený přístup. Malware, označovaný jako MysterySnail, objevili bezpečnostní experti společnosti Kaspersky na několika serverech v období od konce srpna do začátku září 2021.
Kromě toho odhalili také zneužití, spočívající v získání zvýšených uživatelských oprávnění, které se zaměřuje na bezpečnostní chybu ovladače Win32k evidovanou jako CVE-2021-40449. Tento bezpečnostní nedostatek Microsoft opravil v rámci říjnového záplatovacího úterý.
Malware MysterySnail
„Kromě nálezu zero-day chyby jsme analyzovali funkce používaného malwaru a zjistili jsme, že varianty tohoto škodlivého kódu byly zjištěny v rozsáhlých špionážních kampaních proti IT společnostem, vojenským/obranným dodavatelům a diplomatickým subjektům,“ uvedli experti společnosti Kaspersky Boris Larin a Costin Raiu.
Podobnost kódu a opakované použití infrastruktury C2 spojily tyto útoky se skupinou označovanou jako IronHusky a čínskými hackery, známými útoky z roku 2012. Hackerská skupina IronHusky byla poprvé zachycena v roce 2017 při vyšetřování kampaně zaměřené na ruské a mongolské vládní subjekty, letecké společnosti a výzkumné ústavy s cílem shromažďovat zpravodajské informace o rusko-mongolských vojenských jednáních.
Snaha o zisk zvýšených oprávnění k nasazení malwaru MysterySnail se zaměřuje na klientské a serverové verze systému Windows, od Windows 7 a Windows Server 2008 až po nejnovější verze včetně Windows 11 a Windows Server 2022, které nemají nainstalovanou opravu proti chybě CVE-2021-40449.
Dálkové ovládání hackery
Trojan MysterySnail je navržen tak, aby získával a shromažďoval systémové informace z napadených strojů a poté očekával další příkazy z řídicího serveru. Hackeři tak v případě úspěšného průniku získávají nad počítačem téměř úplnou kontrolu.
MysterySnail může na infikovaných počítačích provádět různé úlohy, od spouštění nových procesů a ukončování běžících procesů až po spouštění interaktivních shellů a proxy serveru s podporou až 50 současných připojení.
„Samotný malware není příliš sofistikovaný a má funkce podobné mnoha jiným aplikacím pro vzdálené ovládání počítačů," dodali oba výzkumníci. „Přesto však nějakým způsobem vyniká, a to poměrně velkým počtem implementovaných příkazů a dalšími schopnostmi, jako je monitorování vložených diskových jednotek a schopnost fungovat jako proxy server.“ Další technické podrobnosti a indikátory kompromitace najdete ve zprávě, kterou zveřejnila společnost Kaspersky.