Οι κινεζικοί χάκερς Ironhusky στοχεύουν στις ρωσικές και μογγολικές κυβερνητικές οργανώσεις χρησιμοποιώντας αναβαθμισμένο Mysterysnail Remote Access Trojan Malware.
Οι ερευνητές της ασφάλειας της ομάδας παγκόσμιας έρευνας και ανάλυσης του Kaspersky εντοπίστηκαν το ενημερωμένο εμφύτευμα ενώ διερεύνησαν τις πρόσφατες επιθέσεις όπου οι επιτιθέμενοι αναπτύσσουν το κακόβουλο λογισμικό αρουραίων χρησιμοποιώντας ένα κακόβουλο σενάριο MMC που καμουφλάρθηκε ως έγγραφο λέξεων, το οποίο κατέλαβε ωφέλιμο φορτίο δεύτερου σταδίου και απέκτησε επιμονή σε συμβιβασμένα συστήματα.
Ένα από τα κακόβουλα ωφέλιμα φορτία είναι ένα άγνωστο ενδιάμεσο backdoor που βοηθά στη μεταφορά αρχείων μεταξύ των διακομιστών εντολών και ελέγχου και των hacked συσκευές, εκτελέστε τα κελύφη εντολών, δημιουργήστε νέες διαδικασίες, διαγραφή αρχείων και πολλά άλλα.
“Στην τηλεμετρία μας, αυτά τα αρχεία αποδείχθηκαν ότι αφήνουν αποτυπώματα του Mysterysnail Rat Malware, ενός εμφυτεύματος που περιγράψαμε το 2021. Είπε ο Kaspersky.
“Ειδικότερα, λίγο, αφού μπλοκάρουμε τις πρόσφατες εισβολές που σχετίζονται με τον αρουραίο Mysterysnail, παρατηρήσαμε ότι οι επιτιθέμενοι θα συνεχίσουμε να διεξάγουμε τις επιθέσεις τους, αναπτύσσοντας μια επανατοποθετημένη και πιο ελαφριά έκδοση του Mysterysnail Rat.
Όπως διαπίστωσαν, το αναβαθμισμένο κακόβουλο λογισμικό υποστηρίζει δεκάδες εντολές, επιτρέποντας στους επιτιθέμενους να διαχειρίζονται υπηρεσίες στη συμβιβασμένη συσκευή, να εκτελούν εντολές κελύφους, να δημιουργούν και να σκοτώνουν διαδικασίες και να διαχειρίζονται αρχεία, μεταξύ άλλων.
Πρώτα εντοπίστηκε σχεδόν πριν από τέσσερα χρόνια
Αυτή η τελευταία έκδοση backdoor είναι παρόμοια με τον αρχικό Mysterysnail Rat, τον οποίο ο Kaspersky ανιχνεύθηκε για πρώτη φορά στα τέλη Αυγούστου 2021 σε εκτεταμένες επιθέσεις κατασκοπείας εναντίον εταιρειών πληροφορικής, στρατιωτικών/αμυντικών εργολάβων και διπλωματικών οντοτήτων στη Ρωσία και τη Μογγολία.
Την εποχή εκείνη, η ομάδα hacking Ironhusky παρατηρήθηκε στην ανάπτυξη του κακόβουλου λογισμικού σε συστήματα που διακυβεύονται χρησιμοποιώντας εκμεταλλεύσεις μηδενικής ημέρας που στοχεύουν ένα Windows Win32K Kernel Lervanability (CVE-2021-40449).
Οι Κινέζοι ήταν Πρώτα εντοπίστηκε από τον Kaspersky το 2017 Ενώ διερεύνησε μια εκστρατεία που στοχεύει στις ρωσικές και μογγολικές κυβερνητικές οντότητες με τελικό στόχο τη συλλογή πληροφοριών για τις ρωσικές-πολιτικές στρατιωτικές διαπραγματεύσεις.
Ένα χρόνο αργότερα, ο Kaspersky επίσης τα παρατηρήθηκαν Αξιοποιώντας μια ευπάθεια διαφθοράς μνήμης του Microsoft Office (CVE-2017-11882) για την εξάπλωση των αρουραίων που χρησιμοποιούνται συνήθως από τις κινεζικές ομάδες πειρατείας, συμπεριλαμβανομένων των δηλητηριακών και των plugx.
Ο Αναφορά Kaspersky Δημοσιεύθηκε την Πέμπτη περιλαμβάνει δείκτες συμβιβασμού και πρόσθετες τεχνικές λεπτομέρειες σχετικά με τις πρόσφατες επιθέσεις του Ironhusky χρησιμοποιώντας τον αρουραίο Mysterysnail.
VIA: bleepingcomputer.com
