Un gruppo criminale legato alla Cina, soprannominato #IronHusky ed appartenente alla famigerata categoria degli #APT, ha sfruttato una vulnerabilità zero-day per implementare il Rat #MysterySnail grazie alla scoperta di un exploit in Windows per l'elevazione dei privilegi.
Secondo Kaspersky, la campagna ha un impatto sulle versioni client e server di #Windows, da Windows 7 e Windows Server 2008 alle ultime versioni, tra cui Windows 11 e Windows Server 2022.
IronHusky sta sfruttando lo zero-day per installare una shell remota per eseguire attività dannose ai server di destinazione.
MysterySnail raccoglie e ruba informazioni di sistema prima di raggiungere il suo #C2 per ulteriori comandi.
Esegue più attività come la generazione di nuovi processi, l'uccisione di quelli in esecuzione, l'avvio di shell interattive e l'esecuzione di un server proxy con supporto per un massimo di 50 connessioni parallele.
Uno dei campioni analizzati è di grandi dimensioni, circa 8,29 MB, poiché viene compilato utilizzando la libreria #OpenSSL.
Il malware non è così sofisticato, tuttavia, viene fornito con un gran numero di comandi implementati e funzionalità extra, come la scansione delle unità disco inserite e l'azione come proxy.
Il bug sfruttato, tracciato come #CVE-2021-40449, era già stato patchato da #Microsoft nel Patch Tuesday di ottobre. Si tratta di una vulnerabilità #use-after-free, ovvero una vulnerabilità creata dall'utilizzo errato dell'allocazione dinamica di memoria.
MysterySnail è stato collegato al gruppo APT IronHusky a causa del riutilizzo dell'infrastruttura C2 impiegata per la prima volta nel 2012 ed alla sovrapposizione diretta di codice e funzionalità con altri malware a loro associati.
