Rilevamento dell’attacco MysterySnail

Gli esperti di sicurezza di Kaspersky hanno scoperto una sofisticata campagna di cyber-spionaggio che sfrutta una vulnerabilità zero-day in Windows (CVE-2021-40449) per attaccare aziende IT, appaltatori militari e istituzioni diplomatiche. La campagna è stata attribuita a un gruppo APT supportato dalla Cina tracciato come IronHusky. Il collettivo di hacker ha sfruttato la CVE-2021-40449 recentemente scoperta per infettare i sistemi con un Trojan di accesso remoto precedentemente sconosciuto soprannominato MysterySnail.

CVE-2021-40449

Il nuovo zero-day di Windows (CVE-2021-40449) è un difetto di elevazione dei privilegi che risiede nella funzione NtGdiResetDC del driver Win32k. Secondo l’ indagine di Kaspersky, il problema di sicurezza si verifica a causa di una configurazione errata nelle impostazioni di callback in modalità utente che consente agli attaccanti di sfruttare l’oggetto Proactive Data Container (PDC) danneggiato per avviare una chiamata a una funzione del kernel arbitraria e quindi leggere e scrivere nella memoria del kernel.

Il difetto CVE-2021-40449 riguarda la maggior parte delle versioni client e server di Windows, a partire dalle più datate Windows 7 e Windows Server 2008 fino alle più recenti Windows 11 e Windows Server 2008. Sebbene la vulnerabilità sia presente sia nelle installazioni client che server, solo i sistemi Windows Server sono stati colpiti in natura.

Dopo la divulgazione, la vulnerabilità è stata prontamente segnalata a Microsoft e risolta dal fornitore durante il suo Rilascio del Patch Tuesday di ottobre. 

MysterySnail RAT

L’exploit di escalation dei privilegi CVE-2021-40449 è stato attivamente utilizzato in natura per lanciare Trojan di accesso remoto personalizzati, tracciati come MysterySnail dai ricercatori Kaspersky. Il nuovo RAT è un malware di tipo shell remoto in grado di scaricare dati di sistema dagli host compromessi ed eseguire una serie di comandi malevoli di base ricevuti dal server di comando e controllo (C&C) degli attaccanti. In particolare, il Trojan può leggere e cancellare file, terminare processi arbitrari, creare e caricare nuovi file, generare nuovi processi, avviare shell interattive, fungere da server proxy e altro ancora.

Secondo gli esperti, la funzionalità di MysterySnail è tipica delle shell remote e non è realmente avanzata. Tuttavia, il nuovo Trojan si distingue tra i suoi “fratelli” grazie alla grande lista di comandi e alle capacità aggiuntive come la possibilità di fungere da proxy.

Tracce verso IronHusky APT

La ricerca di Kaspersky collega il nuovo MysterySnail a un IronHusky APT affiliato alla Cina. Durante l’analisi della più recente campagna di cyber-spionaggio, gli esperti di sicurezza hanno identificato che l’operazione malevola si basava sulla stessa infrastruttura C&C utilizzata da IronHusky nel 2012. Inoltre, la decomposizione di MystertSnail ha rivelato una sovrapposizione di codice con altri campioni malevoli attribuiti al gruppo.

Le prime tracce di attività di IronHusky sono state identificate nel 2017 durante l’indagine sulla campagna malevola mirata a beni governativi e militari russi e mongoli. Nel 2018 i ricercatori di Kaspersky hanno rilevato che gli avversari di IronHusky sfruttavano il difetto di corruzione della memoria di Microsoft Office (CVE-2017-11882) per distribuire PlugX e PoisonIvy, i RAT frequentemente utilizzati dai collettivi di hacker di lingua cinese.

Rilevazione di MysterySnail RAT

Per prevenire compromessi possibili da parte del malware MysterySnail RAT, è possibile scaricare un insieme di regole Sigma dedicate rilasciate dai nostri intraprendenti sviluppatori di Threat Bounty.

Attacchi di MysterySnail RAT con Windows Zero-Day CVE-2021-40449 (via proxy)

Questa regola di Sittikorn Sangrattanapitak aiuta a rilevare possibili infezioni da MysterySnail tramite il zero-day Windows CVE-2021-40449. Il rilevamento ha traduzioni per le seguenti piattaforme di SIEM SECURITY ANALYTICS: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.

La regola è mappata alla metodologia MITRE ATT&CK affrontando le tattiche di Command and Control. In particolare, il rilevamento si rivolge alla tecnica Data Encoding (t1132) così come alla sotto-tecnica Web Protocols (t1071.001) della tecnica Application Layer Protocol (t1071).

Attacchi di MysterySnail con Windows Zero-Day

Questa regola di Osman Demir rileva anche infezioni da MysterySnail eseguite con il zero-day di Windows recentemente scoperto. Il rilevamento ha traduzioni per le seguenti piattaforme DI ANALITICA DELLA SICUREZZA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Sentinel One, Microsoft Defender ATP FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, PowerShell Microsoft, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

La regola è mappata alla metodologia MITRE ATT&CK affrontando le tattiche di Execution. In particolare, il rilevamento si rivolge alla sotto-tecnica Windows Command Shell (t1059.003) della tecnica Command and Scripting Interpreter (t1059) così come alla sotto-tecnica Rundll32 (t1218.011) della tecnica Signed Binary Proxy Execution (t1218).

Registrati alla piattaforma Detection as Code di SOC Prime per accedere al contenuto di rilevamento delle minacce basato su Sigma più aggiornato, continuamente aggiornato da oltre 300 ricercatori e distribuito a più di 20 piattaforme SIEM e XDR. Sei desideroso di partecipare alla nostra iniziativa di crowdsourcing per difensori informatici individuali e sviluppare le tue regole Sigma? Unisciti al nostro programma Threat Bounty!

Vai alla Piattaforma Entra in Threat Bounty