Κινέζοι hackers πραγματοποίησαν επιθέσεις σε IT εταιρείες και εργολάβους στον τομέα της άμυνας, με τη χρήση ενός elevation of privilege exploit. Ουσιαστικά, οι Κινέζοι hackers εκμεταλλεύτηκαν μια zero-day ευπάθεια στο Windows Win32k kernel driver για την ανάπτυξη ενός νέου RAT trojan. Το κακόβουλο λογισμικό ονομάστηκε MysterySnail και βρέθηκε από τους ερευνητές ασφαλείας της Kaspersky σε πολλούς Microsoft Servers μεταξύ Αυγούστου και Σεπτεμβρίου 2021.
Δείτε επίσης: Apple zero-day bug: Ενημερώστε άμεσα τα iPhone και iPad σας!
Η ευπάθεια που εντοπίστηκε ως CVE-2021-40449, διορθώθηκε από τη Microsoft στο πλαίσιο του Patch Tuesday αυτού του μήνα.
“Εκτός από τον εντοπισμό της zero-day ευπάθειας, αναλύσαμε το malware payload που χρησιμοποιήθηκε μαζί με το zero-day exploit και διαπιστώσαμε ότι παραλλαγές του κακόβουλου λογισμικού εντοπίστηκαν σε εκτεταμένες εκστρατείες κατασκοπείας εναντίον IT εταιρειών, στρατιωτικών/αμυντικών εργολάβων και διπλωματικών οντοτήτων“, ανέφεραν οι ερευνητές της Kaspersky, Boris Larin και Costin Raiu.
“Η ομοιότητα κώδικα και η επαναχρησιμοποίηση της υποδομής C2 που ανακαλύψαμε, μας επέτρεψαν να συνδέσουμε αυτές τις επιθέσεις με την IronHusky, μια κινεζική APT ομάδα“.
Δείτε επίσης: Apache: Zero-day ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση κώδικα
Οι Κινέζοι hackers IronHusky εντοπίστηκαν για πρώτη φορά από την Kaspersky το 2017, στα πλαίσια ερευνών για μια εκστρατεία που στόχευε ρωσικές και μογγολικές κυβερνητικές οντότητες, αεροπορικές εταιρείες και ερευνητικά κέντρα.
Ένα χρόνο αργότερα, οι ερευνητές της Kaspersky ανακάλυψαν ότι οι Κινέζοι hackers άρχισαν να εκμεταλλεύονται την ευπάθεια CVE-2017-11882, μια memory corruption ευπάθεια του Microsoft Office, για να εξαπλώσουν RAT που συνήθως χρησιμοποιούνται από κινέζικες ομάδες (συμπεριλαμβανομένων των PlugX και PoisonIvy).
Privilege escalation zero-day χρησιμοποιείται για την ανάπτυξη RAT
Το privilege escalation exploit που χρησιμοποιείται για την ανάπτυξη του MysterySnail RAT, στοχεύει Windows client και server versions, από τα Windows 7 και Windows Server 2008 έως τις πιο πρόσφατες εκδόσεις, συμπεριλαμβανομένων των Windows 11 και Windows Server 2022.
Η Kaspersky αναφέρει ότι το zero-day exploit στοχεύει και Windows client versions, ωστόσο, ανακαλύφθηκε μόνο σε συστήματα Windows Server.
Το MysterySnail RAT, που χρησιμοποιούν οι Κινέζοι hackers για να στοχεύσουν IT εταιρείες και εταιρείες στον κλάδο της άμυνας, έχει σχεδιαστεί για να συλλέγει και να κλέβει πληροφορίες συστήματος από παραβιασμένους υπολογιστές, πριν επικοινωνήσει με τον command-and-control server για περαιτέρω εντολές.
Δείτε επίσης: Επείγουσα ενημέρωση του Chrome διορθώνει δύο ευπάθειες zero-day
Το RAT μπορεί να εκτελέσει διάφορες εντολές στα μολυσμένα μηχανήματα, όπως εκτέλεση νέων διαδικασιών, διακοπή διεργασιών και άλλα.
Ωστόσο, οι ερευνητές υποστηρίζουν ότι το malware δεν είναι ιδιαίτερα εξελιγμένο και η λειτουργία του είναι παρόμοια με αυτή άλλων RATs.
Περισσότερες τεχνικές λεπτομέρειες υπάρχουν στην έκθεση που δημοσιεύτηκε από την Kaspersky.
Πηγή: Bleeping Computer