MysterySnail: Kaspersky wykrywa atak wykorzystujący lukę dnia zerowego systemie Windows
Pod koniec lata 2021 r. technologie wykrywania firmy Kaspersky zapobiegły serii ataków na serwery działające pod kontrolą systemu Microsoft Windows, w których wykorzystywano szkodliwy kod umożliwiający zwiększenie uprawnień w infrastrukturze ofiary. W wyniku dokładniejszej analizy incydentu badacze z firmy Kaspersky wykryli nowe szkodliwe narzędzie wykorzystujące lukę dnia zerowego w systemie Windows.
W pierwszej połowie roku eksperci z firmy Kaspersky zaobserwowali wzrost liczby ataków wykorzystujących luki dnia zerowego, czyli nieznane dotąd błędy w oprogramowaniu, które zostają wykryte przez cyberprzestępców, zanim zrobi to dostawca oprogramowania lub badacze bezpieczeństwa. Ponieważ dostawca nie jest świadomy występowania takiej luki, nie są tworzone poprawki w celu jej usunięcia, a tym samym prawdopodobieństwo powodzenia ataku wzrasta.
Technologie firmy Kaspersky wykryły serię ataków na licznych serwerach działających pod kontrolą systemu Microsoft Windows, w których wykorzystano szkodliwy kod umożliwiający podniesienie uprawnień. Kod tego narzędzia posiadał wiele podobieństw do starszego, powszechnie znanego exploita, wykorzystującego lukę w zabezpieczeniach CVE-2016-3309, jednak dokładniejsza analiza przeprowadzona przez badaczy z firmy Kaspersky wykazała, że mają oni do czynienia z nowym exploitem dnia zerowego, któremu nadali następnie nazwę MysterySnail.
Na podstawie podobieństwa kodu oraz faktu ponownego wykorzystania tej samej infrastruktury sterowania badacze powiązali te ataki z ugrupowaniem IronHusky oraz chińskojęzyczną aktywnością cyberprzestępczą sięgającą wstecz aż do 2012 r.
Badając szkodliwe funkcje wykorzystywane wraz z nowym dnia zerowego, badacze z firmy Kaspersky ustalili, że warianty tego szkodnika były wykorzystywane w przeprowadzanych na szeroką skalę kampaniach szpiegowskich przeciwko firmom IT, dostawcom z branży wojskowej i obronności oraz placówkom dyplomatycznym.
Luka została zgłoszona firmie Microsoft i doczekała się poprawki 12 października 2021 r. w ramach październikowej “środy poprawkowej”.
Produkty firmy Kaspersky wykrywają exploita wykorzystującego wspomnianą wyżej lukę oraz powiązane z nim szkodliwe moduły, jak również zapewniają właściwą ochronę przed nimi.
Jak wynika z naszych obserwacji na przestrzeni ostatnich kilku lat, atakujący są aktywnie zainteresowani znajdowaniem i wykorzystywaniem nowych luk dnia zerowego. Luki w zabezpieczeniach, których nie są świadomi dostawcy oprogramowania, mogą stanowić poważne zagrożenie dla organizacji. Co istotne jednak, większość ataków tego rodzaju manifestuje podobne zachowania i dlatego tak ważne jest korzystanie z najnowszej analizy zagrożeń oraz instalowanie rozwiązań bezpieczeństwa, które proaktywnie znajdują nieznane zagrożenia – powiedział Borys Larin, ekspert ds. bezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.
Szczegóły techniczne dotyczące nowego exploita dnia zerowego są dostępne na stronie https://r.kaspersky.pl/6nwyv.