Çince konuşan bir hackleme grubu, önceden bilinmeyen bir uzaktan erişim trojanını (sıçan) dağıtmak için Windows Win32k çekirdek sürücüsünde sıfır günlük bir güvenlik açığını kullanır.
MysterySnail olarak bilinen kötü amaçlı yazılım, Kaspersky Security araştırmacıları tarafından Ağustos ve Eylül 2021'in başlarında birden fazla Microsoft sunucularında bulundu.
Ayrıca, CVE-2021-40449 olarak izlenen Win32K sürücü güvenlik kusurunu hedef alan bir ayrıcalıktan yararlandı ve bu ayın yamasının bir parçası olarak bugün Microsoft tarafından yamalı.
"Vahşi doğada sıfır gününü bulmanın yanı sıra, sıfır günlük istismarla birlikte kullanılan kötü amaçlı yazılım yükünü analiz ettik ve kötü amaçlı yazılımların varyantlarının BT şirketlerine, askeri / savunma müteahhitleri ve diplomatik kuruluşlara karşı yaygın casusluk kampanyalarında tespit edildiğini bulduk. "," Kaspersky araştırmacılar Boris Larin ve Costin Raiu dedi.
"Kod Benzerliği ve C2 Altyapısının Yeniden Kullanımı Keşfedildik
Çince konuşan Ironhusky Apt, Rus-Moğolistan askeri müzakerelerine zeka toplama hedefi ile Rus ve Moğol hükümeti varlıklarını, havacılık şirketlerini ve araştırma kurumlarını hedefleyen bir kampanyayı araştırırken 2017 yılında Kaspersky tarafından ilk olarak benekli oldu.
Bir yıl sonra, Kaspersky Araştırmacıları, CVE-2017-11882 Microsoft Office Bellek Bozukluğu Bozulması Güvenlik Açısından, genellikle Çince konuşan gruplar tarafından kullanılan fatura ve zehirlilikler de dahil olmak üzere fareleri yaymak için yayılma güvenlik açığını kullandılar.
Bu saldırılarda konuşlandırılan MysterySnail sıçanını dağıtmak için kullanılan ayrıcalık tırmanışı, Windows 7 ve Windows Server 2008'den Windows 7 ve Windows Server 2008'den, CVE-2021-40449'a karşı açılmamış, Windows 11 ve Windows Server 2022 de dahil olmak üzere Windows istemcisi ve sunucu sürümlerini hedefler.
Vahşi doğada Kaspersky tarafından lekelenmiş sıfır günlük istismar, Windows istemci sürümlerini hedeflemeyi de destekliyor olsa da, yalnızca Windows Server sistemlerinde keşfedildi.
MysterySnail sıçanı, daha fazla komut için komut ve kontrol sunucusuna ulaşmadan önce, sistem bilgilerini ödün verilen ana bilgisayarlardan toplamak ve ekstralamak için tasarlanmıştır.
MysterySnail, virüslü makinelerde çeşitli görevler gerçekleştirerek, yeni süreçlerden kaynaklanan ve zaten çalışanları çalıştırmak için çalışanları öldürmek ve 50'ye kadar eşzamanlı bağlantılara kadar desteği olan bir proxy sunucusunu başlatmak.
İki araştırmacı ekledi.
"Ancak bir şekilde bir şekilde, nispeten çok sayıda uygulanan komut ve eklenmiş disk sürücülerinin izlenmesi ve vekil olarak hareket etme yeteneği gibi çok sayıda uygulanan komut ve ekstra yeteneklerle öne çıkıyor."
Ek teknik detaylar ve uzlaşma göstergeleri, bugün Kaspersky tarafından yayınlanan raporda bulunabilir.
Microsoft, gizlice yüklü Azure Linux uygulamasında kritik hataları düzeltiyor
Hacker'lar havacılık, telco firmalarında gizli shellclient kötü amaçlı yazılım kullanıyor
Yeni UEFI Bootkit, 2012'den beri Windows Cihazlarını Backdoor'a Kullanılmış
Ghostemperor Hackers, Saldırılarda Yeni Windows 10 Rootkit'i kullanıyor
Microsoft: Nobelium, Backdoor Windows Etki Alanlarına Özel Kötü Amaçlı Yazılım Kullanıyor
Kaynak: Bleeping Computer