Kaspersky sur l’impact de MysterySnail sur Windows.

Don Sharpe
prise en charge 5g, nfc et sans fil attendue dans

Don Sharpe

Don écrit professionnellement depuis plus de 10 ans maintenant, mais sa passion pour l’écrit a commencé à l’école primaire. Son travail a été publié sur Livebitcoinnews.com, Learnbonds.com, eHow, AskMen.com,… Lire la suite

  • L’exploit zero-day de MysterySnail a un impact négatif sur les clients Windows et les versions serveur.
  • Les sociétés informatiques, les organisations militaires et de défense ont été parmi les parties les plus touchées par le malware.
  • IronHusky était à l’origine de l’attaque contre les serveurs.

Selon des chercheurs en sécurité, en utilisant un exploit de privilège d’élévation du jour zéro, des pirates chinois ont pu attaquer des sociétés informatiques et des sous-traitants de la défense.

Sur la base des informations recueillies par les chercheurs de Kaspersky, un groupe APT a pu exploiter une vulnérabilité zero-day dans le pilote du noyau Windows Win32K dans le développement d’un nouveau cheval de Troie RAT. L’exploit zero-day contenait de nombreuses chaînes de débogage de la version précédente, la vulnérabilité CVE-2016-3309. Entre août et septembre 2021, quelques serveurs Microsoft ont été attaqués par MysterySnail.

L’infrastructure de commande et de contrôle (C&C) est assez similaire au code découvert. C’est à partir de cette prémisse que les chercheurs ont pu relier les attaques au groupe de pirates IronHusky. Après des recherches plus poussées, il a été établi que des variantes de l’exploit étaient utilisées dans des campagnes à grande échelle. C’était principalement contre les organisations militaires et de défense ainsi que les entreprises informatiques.

L’analyste de sécurité réitère les mêmes sentiments partagés par les chercheurs de Kaspersky ci-dessous sur les menaces posées par IronHusky aux grandes entités utilisant le malware.

Attaque d’escargot mystère

MysterySnail RAT a été développé pour affecter les clients Windows et les versions de serveur, en particulier à partir de Windows 7 et Windows Server 2008 jusqu’aux dernières versions. Cela inclut Windows 11 et Windows Server 2022. Selon les rapports de Kaspersky, l’exploit cible principalement les versions clientes de Windows. Néanmoins, il a été principalement trouvé sur les systèmes Windows Server.

D’après les informations recueillies par les chercheurs, cette vulnérabilité découle de la possibilité de définir des rappels en mode utilisateur et d’exécuter des fonctions API inattendues lors de la mise en œuvre de ces rappels. Selon les chercheurs, l’exécution de la fonction ResetDC une deuxième fois déclenche le bogue. C’est pour le même handle lors de l’exécution de son rappel.

Avez-vous été affecté par l’exploit zero-day de MysterySnail ? Faites-nous savoir dans la section commentaire ci-dessous.

Laisser une réponse