Windows Zero-Day explotado activamente en la campaña de espionaje generalizada - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Windows Zero-Day explotado activamente en la campaña de espionaje generalizada

Hola y mil gracias por leerme. Yo soy Eduardo Arroyo y en esta ocasión vamos a hablar sobre Windows Zero-Day explotado activamente en la campaña de espionaje generalizada

Windows Zero-Day explotado activamente en la campaña de espionaje generalizada

Los ataques cibernéticos, vinculados a una APT de habla china, entregan el nuevo malware MysterySnail RAT a los servidores de Windows.

Los investigadores descubrieron un exploit de día cero para Microsoft Windows que se utilizó para elevar los privilegios y tomar el control de los servidores de Windows como parte de una campaña de espionaje Advanced Persistent Threat (APT) en chino este verano. La cadena de exploits terminó con la instalación de un troyano de acceso remoto (RAT) recientemente descubierto apodado MysterySnail en servidores comprometidos, con el objetivo de robar datos.

Microsoft ha corregido el error (CVE-2021-40449) como parte de las actualizaciones del martes de parches de octubre, lanzadas esta semana.

De acuerdo a una Análisis martes por los investigadores de Kaspersky, el problema se esconde en el controlador del kernel de Win32k. Es una vulnerabilidad de uso después de la liberación y «la causa raíz de esta vulnerabilidad es la capacidad de establecer devoluciones de llamada en modo de usuario y realizar funciones API inesperadas mientras se ejecutan tales devoluciones de llamada», explicaron. «CVE-2021-40449 se activa cuando la función ResetDC se ejecuta por segunda vez para el mismo identificador mientras se ejecuta su devolución de llamada».

En última instancia, esto da como resultado un puntero de memoria colgando que apunta a un objeto Contenedor de datos proactivos (PDC) previamente destruido, según Kaspersky. Esto significa que se puede utilizar un objeto PDC no válido para realizar una llamada a una función del kernel arbitraria y, desde allí, permitir que los atacantes lean y escriban en la memoria del kernel.

«Se pueden usar técnicas conocidas públicamente para revelar las direcciones del kernel de los controladores / módulos del kernel cargados actualmente», dijeron los investigadores.

Como se mencionó, los ciberdelincuentes estaban utilizando el exploit como parte de un esfuerzo mayor para instalar un shell remoto en los servidores de destino, es decir, el malware MysterySnail, desconocido antes de esta campaña.

Los investigadores de Kaspersky dijeron que la muestra que analizaron alcanzó un tamaño considerable de 8.29 MB, lo que llamó su atención de inmediato.

«Una de las razones del tamaño del archivo es que está compilado estáticamente con la biblioteca OpenSSL y contiene código no utilizado y datos que pertenecen a esa biblioteca», explicaron. “Pero la razón principal de su tamaño es la presencia de dos funciones muy grandes que no hacen más que desperdiciar los ciclos de reloj del procesador. Estas funciones también utilizan cadenas generadas aleatoriamente que también están presentes en un binario.

Probablemente se trata de funciones anti-análisis, agregaron, señalando que el código también contiene otra lógica redundante y «la presencia de un número relativamente grande de funciones exportadas mientras que el trabajo real lo realiza solo uno de ellos».

La función responsable de realizar las actividades reales del malware se llama «GetInfo», según el análisis.

El malware descifra la dirección de comando y control (C2) e intenta conectarse a ella. También requiere un túnel a través de un servidor proxy en caso de que no pueda conectarse directamente al C2.

A partir de ahí, el malware recopila información básica sobre la máquina víctima: nombre de la computadora, página de códigos OEM actual / identificador predeterminado, nombre de producto de Windows, dirección IP local, nombre de usuario de inicio de sesión y nombre de campaña.

«Un hecho interesante es que el ‘nombre de la campaña’ está configurado en Windows de forma predeterminada», según los investigadores. «Este nombre está anulado, pero puede indicar que hay versiones de la misma RAT compiladas para otras plataformas».

Luego espera los comandos encriptados por el C2. Soporta 20. Estos son:

  • Inicie el shell interactivo cmd.exe. Antes de iniciar, cmd.exe se copia en la carpeta temporal con un nombre diferente
  • Genera un nuevo proceso
  • Generar un nuevo proceso (consola)
  • Obtenga discos duros existentes y sus tipos. Esta función también funciona en segundo plano, comprobando si hay nuevas unidades
  • Cree (cargue) un nuevo archivo. Si existe un archivo, agréguele datos
  • Obtener listado de directorio
  • Mata el proceso arbitrario
  • Eliminar el archivo
  • Leer archivos
  • Reconectar
  • Establecer el tiempo de reposo (en milisegundos)
  • Apague la red y salga
  • Salida
  • Mata al caparazón interactivo
  • Finaliza la operación de lectura de archivos
  • No operacion
  • Abra la conexión de proxy al host proporcionado. Se admiten hasta 50 conexiones simultáneas.
  • Enviar datos a la conexión proxy
  • Cerrar todas las conexiones de proxy
  • Se requiere una conexión de proxy cercana

«El malware en sí no es muy sofisticado y tiene una funcionalidad similar a muchas otras shells remotas», señalaron los investigadores. «Pero de alguna manera todavía se destaca, con una cantidad relativamente grande de comandos implementados y características adicionales como el monitoreo de unidades insertadas y la capacidad de actuar como un proxy».

Durante el análisis de Kaspersky de MysterySnail RAT, vincularon la campaña con el negocio de APT del Grupo IronHusky al reutilizar la infraestructura C2 utilizada en otros ataques, que se remontan a 2012.

También descubrieron otras campañas este año que usaban variantes anteriores del malware, lo que también ayudó a vincularlo con la APT con sede en China conocida como IronHusky.

«Pudimos encontrar una superposición directa de código y funcionalidad con el malware atribuido al actor IronHusky», dijeron los investigadores. «También pudimos descubrir la reutilización de direcciones C2 utilizadas en ataques APT en chino desde 2012. Este descubrimiento vincula a IronHusky con algunas de las empresas más antiguas conocidas».

IronHusky se detectó por primera vez en el verano de 2017 y tiene un historial de uso de exploits para entregar RAT a los objetivos. En 2017, por ejemplo, Kaspersky descubrió el grupo que usó CVE-2017-11882 para popularizar el PlugX y PoisonIvy RAT comunes.

«Está muy enfocado en monitorear la agenda geopolítica de objetivos en Asia Central con un enfoque especial en Mongolia, que parece ser un objetivo inusual», señaló la compañía. en su informe sobre la actividad. “Este actor crea campañas para los próximos eventos de interés. En este caso, prepararon y lanzaron uno justo antes de una reunión con el Fondo Monetario Internacional y el gobierno de Mongolia a fines de enero de 2018. Al mismo tiempo, detuvieron sus operaciones anteriores contra los contratistas militares rusos, que dice. grupo «.

Los últimos ataques han sido dirigidos pero extensos. Los investigadores de Kaspersky encontraron variantes de MysterySnail utilizadas en campañas de espionaje generalizadas contra empresas cibernéticas, contratistas militares y de defensa y entidades diplomáticas, según el informe.

.

No te olvides compartir en tus redes sociales para que tus amigos lo sepan

??? ? ? ???

Comparte