Během první poloviny roku zaznamenali odborníci společnosti Kaspersky nárůst útoků využívajících tzv. „zranitelnost nultého dne“. Jako „zero-day“ zranitelnost je označována dosud nezveřejněná softwarová chyba, kterou útočníci objevili dříve, než se o ní dozvěděl výrobce. Jelikož o ní výrobci nevědí, neexistuje pro ni ani žádná záplata, takže takové útoky mohou být mimořádně úspěšné.
Microsoft’s October 2021 Patch Tuesday includes security fixes for 74 vulnerabilities.
— Eugene Kaspersky (@e_kaspersky) October 13, 2021
One of them is a zero-day detected by @kaspersky research team; this vuln is being used to deliver the MysterySnail RAT to Windows servers 👉 https://t.co/CDeAX1WhKn pic.twitter.com/uhsKK7fAi3
Technologie společnosti Kaspersky zjistily sérii útoků využívajících exploit pro zvýšení úrovně oprávnění na několika serverech s Microsoft Windows. Tento exploit obsahoval ve svém kódu mnoho textových řetězců ze staršího, veřejně známého exploitu využívajícího zranitelnost CVE-2016-3309, bližší analýza však ukázala, že se jedná o nový zero-day exploit. Výzkumníci společnosti Kaspersky jej nazvali MysterySnail.
Nová hrozba od čínských hackerů?
Kombinace podobnosti kódu a způsobu použití infrastruktury C&C serverů vedla výzkumníky k tomu, že si tyto útoky spojili s nechvalně známou skupinou IronHusky a čínsky komunikujícími aktéry zaměřenými na pokročilé perzistentní hrozby (APT) z roku 2012.
Analýzou dat přenášených malwarem použitým pro šíření exploitu výzkumníci společnosti Kaspersky zjistili, že varianty tohoto malwaru byly použity v rozsáhlých špionážních kampaních proti IT společnostem, vojenským a obranným dodavatelům a diplomatickým subjektům. Zranitelnost byla nahlášena společnosti Microsoft a opravena 12. října 2021 v rámci říjnového záplatovacího úterý.
Back in August, we detected attacks using an elevation of privilege exploit on multiple Microsoft Windows servers.@securelist take a look at vulnerability CVE-2016-3309 including details around a previously unknown vulnerability in the Win32k driver. https://t.co/QCf0Zi6osG
— Kaspersky (@kaspersky) October 13, 2021
„V posledních několika letech pozorujeme soustavný zájem útočníků o hledání a zneužívání nových zero-day zranitelností. Zranitelnosti, které nejsou výrobcům dosud známé, mohou představovat vážnou hrozbu pro všechny organizace. Většina takových exploitů však sdílí podobné chování. Proto je důležité spoléhat se na nejnovější informace o hrozbách a instalovat bezpečnostní řešení, která proaktivně vyhledávají dosud neznámé hrozby,“ popisuje Boris Larin, bezpečnostní expert z globálního výzkumného a analytického týmu (GReAT) společnosti Kaspersky.
