Détection de l’attaque MysterySnail
Table des matières :
Des experts en sécurité de Kaspersky ont découvert une campagne de cyber-espionnage sophistiquée qui exploite un bug zero-day dans Windows (CVE-2021-40449) pour attaquer des entreprises IT, des sous-traitants militaires et des institutions diplomatiques. La campagne a été attribuée à un groupe APT soutenu par la Chine, suivi sous le nom d’IronHusky. Le collectif de hackers a exploité un CVE-2021-40449 récemment découvert pour infecter les systèmes avec un cheval de Troie d’accès à distance auparavant inconnu, baptisé MysterySnail.
CVE-2021-40449
Le nouveau zero-day Windows (CVE-2021-40449) est une faille d’élévation de privilèges qui réside dans la fonction NtGdiResetDC du pilote Win32k. Selon l’ enquête de Kaspersky, le trou de sécurité se produit en raison d’une mauvaise configuration dans les paramètres de rappel en mode utilisateur qui permet aux attaquants de tirer parti de l’objet corrompu Proactive Data Container (PDC) pour lancer un appel à une fonction du noyau arbitraire, puis lire et écrire en mémoire du noyau.
La faille CVE-2021-40449 affecte la majorité des versions client et serveur de Windows, à partir des anciens Windows 7 et Windows Server 2008 jusqu’aux derniers Windows 11 et Windows Server 2008. Bien que la faille soit présente dans les installations client et serveur, seules les systèmes Windows Server ont été ciblés sur le terrain.
Après la divulgation, la vulnérabilité a été rapidement signalée à Microsoft et corrigée par l’éditeur lors de sa octobre Patch Tuesday Release.
MysterySnail RAT
L’exploitation de l’élévation de privilèges CVE-2021-40449 a été activement utilisée dans la nature pour livrer un cheval de Troie d’accès à distance personnalisé, suivi sous le nom de MysterySnail par les chercheurs de Kaspersky. Le nouveau RAT est un malware de type shell à distance capable d’extraire des données système des hôtes compromis et d’exécuter un ensemble de commandes malveillantes de base reçues du serveur de commande et de contrôle (C&C) des attaquants. En particulier, le cheval de Troie peut lire et supprimer des fichiers, tuer des processus arbitraires, créer et télécharger de nouveaux fichiers, lancer de nouveaux processus, lancer des shells interactifs, agir comme serveur proxy, et plus.
Selon les experts, la fonctionnalité de MysterySnail est typique des shells distants et n’est pas vraiment avancée. Pourtant, le nouveau cheval de Troie se distingue parmi ses « camarades » en raison de la longue liste de commandes et des capacités supplémentaires telles que la capacité d’agir comme un proxy.
Traces d’IronHusky APT
La recherche de Kaspersky lie le nouveau MysterySnail à un IronHusky APT affilié à la Chine. Lors de l’analyse de la dernière campagne de cyber-espionnage, des experts en sécurité ont identifié que l’opération malveillante s’appuyait sur la même infrastructure C&C utilisée par IronHusky en 2012. De plus, la décomposition de MystertSnail a révélé un chevauchement de code avec d’autres échantillons malveillants attribués au groupe.
Les premières traces de l’activité d’ IronHusky ont été identifiées en 2017 lors de l’enquête sur la campagne malveillante ciblant les actifs gouvernementaux et militaires russes et mongols. En 2018, les chercheurs de Kaspersky ont détecté des adversaires d’IronHusky exploitant une faille de corruption de mémoire de Microsoft Office (CVE-2017-11882) pour livrer PlugX et PoisonIvy, les RAT fréquemment utilisés par les collectifs de hackers sinophones.
Détection de MysterySnail RAT
Pour prévenir une compromission possible par le malware MysterySnail RAT, vous pouvez télécharger un ensemble de règles Sigma dédiées publiées par nos développeurs Threat Bounty avertis.
Attaques de MysterySnail RAT avec le zero-day Windows CVE-2021-40449 (via proxy)
Cette règle par Sittikorn Sangrattanapitak aide à détecter d’éventuelles infections de MysterySnail via le zero-day Windows CVE-2021-40449. La détection a des traductions pour les plates-formes ANALYTIQUES DE SÉCURITÉ SIEM suivantes : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.
La règle est mappée à la méthodologie MITRE ATT&CK traitant des tactiques de Commandement et Contrôle. En particulier, la détection traite de la technique Data Encoding (t1132) ainsi que de la sous-technique Web Protocols (t1071.001) de la technique Application Layer Protocol (t1071).
Attaques MysterySnail avec le zero-day Windows
Cette règle par Osman Demir détecte également les infections de MysterySnail effectuées avec le zero-day Windows récemment découvert. La détection a des traductions pour les plates-formes ANALYTIQUES DE SÉCURITÉ SIEM suivantes : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Sentinel One, Microsoft Defender ATP FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
La règle est mappée à la méthodologie MITRE ATT&CK traitant des tactiques d’Exécution. En particulier, la détection traite de la sous-technique Windows Command Shell (t1059.003) de la technique Command and Scripting Interpreter (t1059) ainsi que de la sous-technique Rundll32 (t1218.011) de la technique Signed Binary Proxy Execution (t1218).
Inscrivez-vous à la plate-forme Detection as Code de SOC Prime pour accéder au contenu de détection basé sur Sigma le plus à jour, continuellement mis à jour par plus de 300 chercheurs et délivré à plus de 20 plates-formes SIEM et XDR. Désireux de participer à notre initiative de crowdsourcing pour les cyber défenseurs individuels et développer vos propres règles Sigma ? Rejoignez notre Programme Bounty Threat !
