IronHusky sfrutta uno zero-day su Microsoft Windows

Un gruppo criminale legato alla Cina, soprannominato #IronHusky ed appartenente alla famigerata categoria degli #APT, ha sfruttato una vulnerabilità zero-day per implementare il Rat #MysterySnail grazie alla scoperta di un exploit in Windows per l'elevazione dei privilegi.
Secondo Kaspersky, la campagna ha un impatto sulle versioni client e server di #Windows, da Windows 7 e Windows Server 2008 alle ultime versioni, tra cui Windows 11 e Windows Server 2022.
IronHusky sta sfruttando lo zero-day per installare una shell remota per eseguire attività dannose ai server di destinazione.
MysterySnail raccoglie e ruba informazioni di sistema prima di raggiungere il suo #C2 per ulteriori comandi.
Esegue più attività come la generazione di nuovi processi, l'uccisione di quelli in esecuzione, l'avvio di shell interattive e l'esecuzione di un server proxy con supporto per un massimo di 50 connessioni parallele.
Uno dei campioni analizzati è di grandi dimensioni, circa 8,29 MB, poiché viene compilato utilizzando la libreria #OpenSSL.
Il malware non è così sofisticato, tuttavia, viene fornito con un gran numero di comandi implementati e funzionalità extra, come la scansione delle unità disco inserite e l'azione come proxy.
Il bug sfruttato, tracciato come #CVE-2021-40449, era già stato patchato da #Microsoft nel Patch Tuesday di ottobre. Si tratta di una vulnerabilità #use-after-free, ovvero una vulnerabilità creata dall'utilizzo errato dell'allocazione dinamica di memoria.
MysterySnail è stato collegato al gruppo APT IronHusky a causa del riutilizzo dell'infrastruttura C2 impiegata per la prima volta nel 2012 ed alla sovrapposizione diretta di codice e funzionalità con altri malware a loro associati.

Pin It

A cura di...

Antonio Capobianco
Antonio Capobianco
Malware Analyst
Image
Vincenzo Alonge
Ethical Hacker e Forensic Analyst
Image
Andrea Tassotti
Ethical Hacker e Pentester
Image
Andrea Covino
Ethical Hacker e Forensic Analyst

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.