Detección de Ataques MysterySnail
Tabla de contenidos:
Expertos en seguridad de Kaspersky descubrieron una sofisticada campaña de ciberespionaje que aprovecha un error de día cero en Windows (CVE-2021-40449) para atacar a empresas de TI, contratistas militares e instituciones diplomáticas. La campaña fue atribuida a un grupo APT respaldado por China identificado como IronHusky. El colectivo de hackers explotó un CVE-2021-40449 recientemente descubierto para infectar sistemas con un troyano de acceso remoto previamente desconocido, denominado MysterySnail.
CVE-2021-40449
El nuevo día cero de Windows (CVE-2021-40449) es un fallo de elevación de privilegios que reside en la función NtGdiResetDC del controlador Win32k. Según la investigación de Kaspersky, el agujero de seguridad ocurre debido a una mala configuración en los ajustes de la callback en modo de usuario que permite a los atacantes utilizar el objeto Proactive Data Container (PDC) corrupto para lanzar una llamada a una función arbitraria del kernel y luego leer y escribir en la memoria del kernel.
La vulnerabilidad CVE-2021-40449 afecta a la mayoría de las versiones de clientes y servidores de Windows, comenzando por las versiones antiguas de Windows 7 y Windows Server 2008 hasta las últimas Windows 11 y Windows Server 2022. Aunque el fallo está presente tanto en instalaciones de cliente como de servidor, solo los sistemas de Windows Server fueron atacados en la naturaleza.
Tras la divulgación, la vulnerabilidad fue reportada de inmediato a Microsoft y corregida por el proveedor durante su lanzamiento de Patch Tuesday de octubre.
MysterySnail RAT
El exploit de escalada de privilegios CVE-2021-40449 fue utilizado activamente en la naturaleza para entregar un troyano de acceso remoto personalizado, rastreado como MysterySnail por los investigadores de Kaspersky. El nuevo RAT es un malware de tipo shell remoto capaz de volcar datos del sistema desde los hosts comprometidos y ejecutar un conjunto de comandos maliciosos básicos recibidos desde el servidor de comando y control (C&C) de los atacantes. Particularmente, el troyano puede leer y eliminar archivos, terminar procesos arbitrarios, crear y subir nuevos archivos, iniciar nuevos procesos, lanzar shells interactivos, actuar como servidor proxy, y más.
Según los expertos, la funcionalidad de MysterySnail es típica de los shells remotos y no es realmente avanzada. Sin embargo, el nuevo troyano se destaca entre sus «hermanos» debido a la gran lista de comandos y capacidades adicionales como la habilidad de actuar como un proxy.
Vínculos con IronHusky APT
La investigación de Kaspersky vincula el nuevo MysterySnail con un APT IronHusky afiliado a China. Mientras analizaban la última campaña de ciberespionaje, los expertos en seguridad identificaron que la operación maliciosa se basaba en la misma infraestructura de C&C utilizada por IronHusky en 2012. Además, la descomposición de MystertSnail reveló una superposición de código con otras muestras maliciosas atribuidas al grupo.
Las primeras trazas de actividad de IronHusky fueron identificadas en 2017 durante la investigación de la campaña maliciosa dirigida a activos gubernamentales y militares de Rusia y Mongolia. En 2018, los investigadores de Kaspersky detectaron que los adversarios de IronHusky explotaban un fallo de corrupción de memoria de Microsoft Office (CVE-2017-11882) para entregar PlugX y PoisonIvy, los RAT frecuentemente utilizados por colectivos de hacking de habla china.
Detección de MysterySnail RAT
Para prevenir la posible infección por el malware MysterySnail RAT, puede descargar un conjunto de reglas Sigma dedicadas lanzadas por nuestros atentos desarrolladores de Threat Bounty.
Ataques de MysterySnail RAT con Windows Zero-Day CVE-2021-40449 (vía proxy)
Esta regla por Sittikorn Sangrattanapitak ayuda a detectar posibles infecciones de MysterySnail a través de la vulnerabilidad de día cero CVE-2021-40449 de Windows. La detección tiene traducciones para las siguientes plataformas de ANALÍTICA DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.
La regla está mapeada a la metodología de MITRE ATT&CK abordando las tácticas de Comando y Control. Particularmente, la detección aborda la técnica de Codificación de Datos (t1132) así como la sub-técnica de Protocolos Web (t1071.001) de la técnica de Protocolo de Capa de Aplicación (t1071).
Ataques de MysterySnail con Windows Zero-Day
Esta regla por Osman Demir también detecta infecciones de MysterySnail realizadas con el día cero de Windows recientemente descubierto. La detección tiene traducciones para las siguientes plataformas de ANALÍTICA DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Sentinel One, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
La regla está mapeada a la metodología de MITRE ATT&CK abordando las tácticas de Ejecución. Particularmente, la detección aborda la sub-técnica de Shell de Comando de Windows (t1059.003) de la técnica de Intérprete de Comandos y Scripts (t1059) así como la sub-técnica Rundll32 (t1218.011) de la técnica de Ejecución de Binario Firmado como Proxy (t1218).
Regístrese en la Plataforma de Detección como Código de SOC Prime para acceder al contenido de detección de amenazas basado en Sigma más actualizado, continuamente actualizado por más de 300 investigadores y entregado a más de 20 plataformas SIEM y XDR. ¿Desea participar en nuestra iniciativa de crowdsourcing para defensores cibernéticos individuales y desarrollar sus propias reglas Sigma? ¡Únase a nuestro Programa de Recompensas por Amenazas!
