Erkennung von MysterySnail-Angriffen

Sicherheitsexperten von Kaspersky haben eine ausgeklügelte Cyber-Spionage-Kampagne aufgedeckt, die eine Zero-Day-Schwachstelle in Windows (CVE-2021-40449) nutzt, um IT-Unternehmen, militärische Auftragnehmer und diplomatische Institutionen anzugreifen. Die Kampagne wurde einer China-unterstützten APT-Gruppe zugeschrieben, die als IronHusky verfolgt wird. Das Hacker-Kollektiv nutzte die kürzlich entdeckte CVE-2021-40449 aus, um Systeme mit einem bisher unbekannten Trojaner für den Fernzugriff namens MysterySnail zu infizieren.

CVE-2021-40449

Der neue Windows Zero-Day (CVE-2021-40449) ist eine Schwachstelle zur Privilegienerhöhung, die sich in der NtGdiResetDC-Funktion des Win32k-Treibers befindet. Laut der Untersuchung von Kaspersky tritt das Sicherheitsloch durch eine Fehlkonfiguration in den Benutzermodus-Rückrufeinstellungen auf, die es Angreifern ermöglicht, das beschädigte Proactive Data Container (PDC)-Objekt zu nutzen, um einen Aufruf an eine beliebige Kernel-Funktion zu initiieren und anschließend Kernel-Speicher zu lesen und zu schreiben.

Die CVE-2021-40449-Schwachstelle betrifft die Mehrheit der Windows-Client- und Server-Versionen, beginnend mit den älteren Windows 7 und Windows Server 2008 bis hin zu den neuesten Windows 11 und Windows Server 2008. Obwohl die Schwachstelle in sowohl Client- als auch Server-Installationen vorhanden ist, wurden nur Windows Server-Systeme in freier Wildbahn angegriffen.

Nach der Offenlegung wurde die Schwachstelle umgehend an Microsoft gemeldet und vom Anbieter während des Oktober Patch Tuesday Release. 

gepatcht.

Der CVE-2021-40449-Privilegieneskalations-Exploit wurde aktiv in freier Wildbahn genutzt, um einen benutzerdefinierten Trojaner für den Fernzugriff bereitzustellen, der von Kaspersky-Forschern als MysterySnail verfolgt wird. Der neue RAT ist ein Malware-Typ mit Remote-Shell, der in der Lage ist, Systemdaten von den kompromittierten Hosts abzurufen und eine Reihe grundlegender bösartiger Befehle auszuführen, die vom Command-and-Control-Server (C&C) der Angreifer empfangen werden. Insbesondere kann der Trojaner Dateien lesen und löschen, beliebige Prozesse beenden, neue Dateien erstellen und hochladen, neue Prozesse starten, interaktive Shells starten, als Proxy-Server fungieren und mehr.

Experten zufolge ist die Funktionalität von MysterySnail typisch für Remote-Shells und nicht wirklich fortschrittlich. Der neue Trojaner sticht jedoch aufgrund der großen Anzahl von Befehlen und zusätzlichen Fähigkeiten, wie der Fähigkeit, als Proxy zu fungieren, unter seinen „Geschwistern“ hervor.

Spuren zu IronHusky APT

Untersuchungen von Kaspersky verbinden den neuen MysterySnail mit einer China-gebundenen IronHusky APT. Während der Analyse der neuesten Cyber-Spionage-Kampagne identifizierten Sicherheitsexperten, dass die bösartige Operation auf derselben C&C-Infrastruktur basierte, die von IronHusky im Jahr 2012 genutzt wurde. Zudem ergab die Zersetzung von MysterySnail eine Code-Überlappung mit anderen bösartigen Proben, die der Gruppe zugeschrieben werden.

Die ersten Spuren der Aktivität von IronHusky wurden identifiziert im Jahr 2017 während der Untersuchung der bösartigen Kampagne, die sich gegen russische und mongolische Regierungs- und Militäreinrichtungen richtete. 2018 entdeckten Kaspersky-Forscher, dass IronHusky-Gegner eine Speicherbeschädigungs-Schwachstelle in Microsoft Office (CVE-2017-11882) ausnutzten, um PlugX und PoisonIvy bereitzustellen, die häufig von chinesischsprachigen Hacker-Kollektiven verwendet werden.

MysterySnail-RAT-Erkennung

Um eine mögliche Kompromittierung durch die MysterySnail-RAT-Malware zu verhindern, können Sie eine Reihe spezieller Sigma-Regeln herunterladen, die von unseren engagierten Threat Bounty-Entwicklern veröffentlicht wurden.

MysterySnail-RAT-Angriffe mit Windows Zero-Day CVE-2021-40449 (über Proxy)

Diese Regel von Sittikorn Sangrattanapitak hilft, mögliche MysterySnail-Infektionen durch die Windows Zero-Day-Schwachstelle CVE-2021-40449 zu erkennen. Die Erkennung verfügt über Übersetzungen für die folgenden SIEM SECURITY ANALYTICS-Plattformen: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.

Die Regel ist mit der MITRE ATT&CK-Methode zur Bekämpfung der Command-and-Control-Taktik verknüpft. Insbesondere behandelt die Erkennung die Data Encoding (t1132) Technik sowie die Untertechnik Web Protocols (t1071.001) der Application Layer Protocol (t1071) Technik.

MysterySnail-Angriffe mit Windows Zero-Day

Diese Regel von Osman Demir erkennt ebenfalls MysterySnail-Infektionen, die mit dem kürzlich entdeckten Windows Zero-Day durchgeführt werden. Die Erkennung verfügt über Übersetzungen für die folgenden SIEM SECURITY ANALYTICS-Plattformen: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Sentinel One, Microsoft Defender ATP FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

Die Regel ist mit der MITRE ATT&CK-Methode zur Bekämpfung der Execution-Taktik verknüpft. Insbesondere behandelt die Erkennung die Untertechnik Windows Command Shell (t1059.003) der Command and Scripting Interpreter (t1059) Technik sowie die Untertechnik Rundll32 (t1218.011) der Signed Binary Proxy Execution (t1218) Technik.

Registrieren Sie sich auf der SOC Primes Detection as Code Platform, um die aktuellsten sigma-basierten Bedrohungserkennung-Inhalte zu erhalten, die kontinuierlich von über 300 Forschern aktualisiert und auf über 20 SIEM- und XDR-Plattformen bereitgestellt werden. Möchten Sie an unserer Crowdsourcing-Initiative für individuelle Cyber-Verteidiger teilnehmen und Ihre eigenen Sigma-Regeln entwickeln? Treten Sie unserem Threat Bounty-Programm bei!

Zur Plattform gehen Dem Threat Bounty beitreten