Обнаружен новый эксплойт MysterySnail для взлома Windows Server

Эксперты по кибербезопасности обнаружили и подавили загадочный новый троян удалённого доступа (RAT), который использовал ошибку нулевого день в важном драйвере Windows для запуска эксплойта повышения привилегий.

Новый эксплойт MysterySnail используется для взлома развертываний Windows Server. Фото: Pixabay

Уязвимость обнаружили специалисты «Лаборатории Касперского».

Из сообщения «Лаборатории Касперского»:

«Эксплойт содержал множество строк отладки из более старого, широко известного эксплойта для уязвимости CVE-2016-3309, но более тщательный анализ показал, что это был «нулевой день». Мы обнаружили, что он использовал ранее неизвестную уязвимость в драйвере Win32k… »

Названный MysterySnail, троянский код и использование инфраструктуры управления и контроля (C2) заставляет исследователей связывать атаку с китайским злоумышленником, известным как IronHusky.

Анализ эксплойта показал, что он был написан для атаки не только на последние выпуски Windows 10 и Windows Server 2019, но и на более старое ПО, поддерживаемое ещё с Windows Vista.

Дальнейший анализ зловреда выявил сходство с несколькими троянами, которые ранее использовались в атаках против ИТ-компаний.

Microsoft исправила уязвимость нулевого дня, которая была использована трояном, в выпуске Patch Tuesday за октябрь 2021 года. Компания призывает обновить ПО, если по какой-то причине это ещё не было сделано.

Startpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме