Китайские хакеры используют Windows нулевого дня для атак на защиту ИТ-компаний

13
Подозреваемые китайские хакеры стоят за атаками на десять израильских больниц

Группа хакеров, говорящая по-китайски, воспользовалась уязвимостью нулевого дня в драйвере ядра Windows Win32k для развертывания ранее неизвестного трояна удаленного доступа (RAT).

Вредоносное ПО, известное как MysterySnail, было обнаружено специалистами Kaspersky Security на нескольких серверах Microsoft в период с конца августа по начало сентября 2021 года.

Они также обнаружили эксплойт повышения привилегий, нацеленный на брешь в безопасности драйвера Win32k, отслеживаемый как CVE-2021-40449 и исправленный Microsoft сегодня, как часть вторника исправлений в этом месяце.

«Помимо обнаружения нулевого дня в дикой природе, мы проанализировали полезную нагрузку вредоносного ПО, используемую вместе с эксплойтом нулевого дня, и обнаружили, что варианты вредоносного ПО были обнаружены в широко распространенных шпионских кампаниях против ИТ-компаний, военных / оборонных подрядчиков и дипломатических организаций. «, — заявили исследователи» Лаборатории Касперского «Борис Ларин и Костин Райу.

«Сходство кода и повторное использование инфраструктуры C2, которые мы обнаружили, позволили нам связать эти атаки с субъектом, известным как IronHusky, и китайскоязычной APT-активностью, начиная с 2012 года».

APT IronHusky, говорящий по-китайски, был впервые обнаружен Касперским в 2017 году во время расследования кампании, нацеленной на российские и монгольские государственные учреждения, авиационные компании и исследовательские институты с конечной целью сбора разведданных о российско-монгольских военных переговорах.

Год спустя исследователи «Лаборатории Касперского» наблюдали, как они использовали уязвимость CVE-2017-11882 Microsoft Office, связанную с повреждением памяти, для распространения RAT, обычно используемых китайскоязычными группами, включая PlugX и PoisonIvy.

Эскалация привилегий нулевого дня, используемая для развертывания RAT

Эксплойт повышения привилегий, используемый для развертывания MysterySnail RAT, развернутого в этих атаках, нацелен на клиентские и серверные версии Windows, от Windows 7 и Windows Server 2008 до последних версий, включая Windows 11 и Windows Server 2022, без исправлений для CVE-2021-40449.

Хотя эксплойт нулевого дня, обнаруженный «Лабораторией Касперского» в дикой природе, также поддерживает нацеливание на клиентские версии Windows, он был обнаружен только в системах Windows Server.

MysterySnail RAT предназначен для сбора и эксфильтрации системной информации с взломанных хостов перед тем, как обратиться к своему командно-контрольному серверу для получения дальнейших команд.

MysterySnail может выполнять различные задачи на зараженных машинах, от создания новых процессов и уничтожения уже запущенных до запуска интерактивных оболочек и запуска прокси-сервера с поддержкой до 50 одновременных подключений.

«Сама по себе вредоносная программа не очень сложна и имеет функциональность, аналогичную многим другим удаленным оболочкам», — добавили два исследователя.

«Но он все же каким-то образом выделяется относительно большим количеством реализованных команд и дополнительных возможностей, таких как мониторинг вставленных дисков и возможность действовать в качестве прокси».

Дальнейшие технические подробности и индикаторы взлома можно найти в отчете, опубликованном сегодня Kaspersky.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here