Zi de zi, hackerii creează noi programe malware pe care să le folosească în atacurile cibernetice. Fiecare dintre aceste creații noi este dezvoltată în felul său și, ca rezultat, capătă propriul destin – în timp ce utilizarea unor familii de malware este raportată de zeci de ani, informațiile despre altele dispar după zile, luni sau câțiva ani.
Hackerii IronHusky vorbitori de limbă chineză vizează organizațiile guvernamentale ruse și mongole cu programe malware actualizate MysterySnail pentru acces la distanță (RAT), relatează Bleeping Computer.
Programele de acces la distanță tip troian (RAT- Remote Access Trojan) sunt programe malware concepute pentru a permite unui atacator să controleze de la distanță un computer infectat. Odată ce RAT rulează pe un sistem compromis, atacatorul îi poate trimite comenzi și poate primi date înapoi ca răspuns.
Cercetătorii de securitate de la Echipa Globală de Cercetare și Analiză (GReAT) a Kaspersky au observat un malware RAT actualizat în timp ce investigau atacuri recente în care atacatorii au implementat malware-ul RAT folosind un script MMC rău intenționat camuflat ca un document Word, care a descărcat încărcături utile din a doua etapă și a câștigat persistență pe sistemele compromise.
Una dintre sarcinile utile rău intenționate este o breșă tip backdoor intermediară necunoscută care ajută la transferul fișierelor între serverele de comandă și control și dispozitivele piratate, rulează comenzi la nivel ridicat, creează noi procese, șterge fișiere și multe altele.
„În telemetria noastră, aceste fișiere s-au dovedit a lăsa urme ale malware-ului MysterySnail RAT, un malware implant pe care l-am descris în 2021. În cazurile de infecție observate, MysterySnail RAT a fost configurat să persiste pe mașinile compromise ca serviciu”, a spus Kaspersky.
„În mod deosebit, la scurt timp după ce am blocat intruziunile recente legate de MysterySnail RAT, am observat că atacatorii au continuat atacurile, prin desfășurarea unei versiuni reutilizate și mai ușoare a MysterySnail RAT. Această versiune constă dintr-o singură componentă și de aceea am numit-o MysteryMonoSnail”.
După cum au descoperit, malware-ul RAT actualizat acceptă zeci de comenzi, permițând atacatorilor să gestioneze serviciile de pe dispozitivul compromis, să execute comenzi shell, să declanșeze și să distrugă procese și să gestioneze fișiere, printre altele.
Această ultimă versiune backdoor este similară cu MysterySnail RAT original, pe care Kaspersky l-a detectat pentru prima dată la sfârșitul lunii august 2021 în atacuri de spionaj larg răspândite împotriva companiilor IT, a contractorilor militari/de apărare și a entităților diplomatice din Rusia și Mongolia.
La acea vreme, grupul de hacking IronHusky a fost observat implementând malware pe sisteme compromise folosind exploit-uri zero-day care vizează o vulnerabilitate a driverului de kernel Windows Win32k (CVE-2021-40449).
Malware-ul chinez a fost observat pentru prima dată de Kaspersky în 2017, în timp ce investiga o campanie care viza entități guvernamentale ruse și mongole, cu scopul final de a colecta informații despre negocierile militare ruso-mongole.
Un an mai târziu, Kaspersky a observat că aceștia exploatează o vulnerabilitate de corupție a memoriei Microsoft Office (CVE-2017-11882) pentru a răspândi RAT-uri utilizate în mod obișnuit de grupurile de hacking chineze, inclusiv PoisonIvy și PlugX.
Raportul Kaspersky publicat joi include indicatori de compromis și detalii tehnice suplimentare despre atacurile recente ale lui IronHusky folosind MysterySnail RAT.
