MysterySnail RAT
A Kaspersky Global Research and Analysis Team (GReAT) jelentése szerint a kínai hátterű IronHusky csoport új, továbbfejlesztett MysterySnail távoli hozzáférést biztosító trójai (RAT) változatot használ orosz és mongol kormányzati szervezetek elleni kiberkémkedési kampányában.
A támadók egy Microsoft Management Console (MMC) szkriptet használnak, amelyet Word dokumentumnak álcáznak. A dokumentum megnyitása után második szakaszbeli kártékony kódokat tölt le, és tartós jelenlétet biztosít a fertőzött rendszeren. Az egyik letöltött kártékony kód egy ismeretlen köztes hátsó ajtó, amely lehetővé teszi fájlok átvitelét a parancs- és vezérlőszerverek (C2) és a fertőzött eszközök között, parancssorok futtatását, új folyamatok létrehozását és fájlok törlését. Kaspersky által 2021-ben azonosított MysterySnail RAT új változata szolgáltatásként fut a fertőzött rendszereken, biztosítva a tartós hozzáférést. A támadók egy könnyített, egykomponensű változatot is bevetettek, amelyet MysteryMonoSnail néven említenek. Ez a verzió számos parancsot támogat, beleértve szolgáltatások kezelését, parancssori utasítások végrehajtását, folyamatok létrehozását és megszüntetését, valamint fájlkezelést.
A MysterySnail RAT-et először 2021 augusztusában észlelték, amikor az IronHusky csoport zéró napos sebezhetőséget (CVE-2021-40449) kihasználva támadott meg orosz és mongol kormányzati szervezeteket, valamint IT és védelmi vállalatokat. A csoportot először 2017-ben azonosították, amikor orosz-mongol katonai tárgyalásokkal kapcsolatos hírszerzési információkat próbáltak megszerezni. Azóta több, kínai APT csoportok által használt eszközt is bevetettek, például PoisonIvy és PlugX trójaiakat.
A Kaspersky jelentése részletes technikai információkat és indikátorokat (IoC) tartalmaz.