MysterySnail atakuje poprzez lukę dnia zerowego

Nasze technologie zabezpieczające wykryły wykorzystanie nieznanej wcześniej luki w sterowniku Win32k.

Niedawno nasze technologie wykrywania zachowań i ochrony przed exploitami wykryły wykorzystanie luki w zabezpieczeniach sterownika jądra Win32k. W efekcie zbadana została cała operacja cyberprzestępcza. Poinformowaliśmy firmę Microsoft o wspomnianej luce (CVE-2021-40449) i została ona załatana w ramach regularnych uaktualnień 12 października. Dlatego, jak zwykle po tzw. Patch Tuesday, zalecamy jak najszybszą aktualizację systemu Microsoft Windows.

Do czego wykorzystano lukę CVE-2021-40449

CVE-2021-40449 to luka typu use-after-free w zabezpieczeniach funkcji NtGdiResetDC sterownika Win32k. Szczegółowy opis techniczny jest dostępny w naszym poście w serwisie SecureList, jednak w skrócie można podsumować, że luka ta może prowadzić do wycieku adresów modułów jądra w pamięci komputera. Następnie cyberprzestępcy mogą wykorzystać ten wyciek do zwiększenia uprawnień innego szkodliwego procesu.

Dzięki eskalacji uprawnień atakujący mogli pobrać i uruchomić MysterySnail — trojana dostępu zdalnego (RAT), który daje im dostęp do systemu ofiary.

Co robi MysterySnail

Najpierw trojan zbiera informacje o zainfekowanym systemie i wysyła je do serwera poleceń. Następnie, korzystając z MysterySnail, atakujący mogą wydawać różne polecenia. Na przykład mogą utworzyć, odczytać lub usunąć określony plik, utworzyć lub usunąć proces, pobrać listę katalogów lub otworzyć kanał proxy i wysłać przez niego dane.

Do innych funkcji MysterySnail należy np. przeglądanie listy podłączonych dysków, monitorowanie podłączenia dysków zewnętrznych w tle itp. Trojan ten może również uruchomić interaktywną powłokę cmd.exe (kopiując plik cmd.exe do folderu tymczasowego pod inną nazwą).

Ataki za pośrednictwem luki CVE-2021-40449

Exploit wykorzystujący tę lukę zagraża wielu systemom operacyjnym z rodziny Microsoft Windows: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (kompilacja 14393), Server 2016 (kompilacja 14393), 10 (kompilacja 17763) i Server 2019 (kompilacja 17763). Według naszych ekspertów celem tego exploita jest eskalacja uprawnień w wersjach serwerowych tego systemu operacyjnego.

Po wykryciu zagrożenia nasi eksperci ustalili, że exploit i szkodliwe oprogramowanie MysterySnail, które jest ładowane do systemu, zostały szeroko wykorzystane w operacjach szpiegowskich przeciwko firmom IT, organizacjom dyplomatycznym i firmom pracującym dla przemysłu obronnego.

Dzięki rozwiązaniu Kaspersky Threat Attribution Engine nasi eksperci byli w stanie znaleźć podobieństwa w kodzie i funkcjonalności MysterySnail oraz szkodliwego oprogramowania wykorzystywanego przez grupę IronHusky. Co więcej, chińskojęzyczne ugrupowanie APT wykorzystało część adresów serwerów kontroli MysterySnail w 2012 roku.

Więcej informacji na temat ataku, w tym szczegółowy opis exploita i wskaźniki naruszenia zabezpieczeń, znajdują się w naszym poście w serwisie SecureList.

Jak zapewnić sobie bezpieczeństwo

Zacznij od zainstalowania najnowszych poprawek firmy Microsoft. Aby zapobiec wykorzystaniu luk dnia zerowego w przyszłości, zainstaluj solidne rozwiązanie zabezpieczające, które potrafi proaktywnie wykrywać i powstrzymywać wykorzystywanie luk na wszystkich komputerach z dostępem do internetu. Technologie wykrywania zachowań i ochrony przed exploitami, takie jak te dostępne w Kaspersky Endpoint Security for Business, wykrywają CVE-2021-40449.

Porady