Detecção do Ataque MysterySnail

Especialistas em segurança da Kaspersky descobriram uma sofisticada campanha de ciberespionagem que aproveita uma falha zero-day no Windows (CVE-2021-40449) para atacar empresas de TI, contratantes militares e instituições diplomáticas. A campanha foi atribuída a um grupo APT apoiado pela China, rastreado como IronHusky. O coletivo de hackers explorou a recentemente descoberta CVE-2021-40449 para infectar sistemas com um trojan de acesso remoto previamente desconhecido chamado MysterySnail.

CVE-2021-40449

O novo zero-day do Windows (CVE-2021-40449) é uma falha de elevação de privilégio que reside na função NtGdiResetDC do driver Win32k. De acordo com a investigação da Kaspersky, a falha de segurança ocorre devido a uma má configuração nas configurações de callback em modo de usuário que permite que atacantes aproveitem o objeto Proactive Data Container (PDC) corrompido para lançar uma chamada para uma função de kernel arbitrária e então ler e escrever na memória do kernel.

A falha CVE-2021-40449 afeta a maioria das versões de cliente e servidor do Windows, começando pelas versões mais antigas do Windows 7 e Windows Server 2008 até as mais recentes Windows 11 e Windows Server 2008. Embora a falha esteja presente em instalações cliente e servidor, apenas os sistemas Windows Server foram alvos no ambiente selvagem.

Após a divulgação, a vulnerabilidade foi prontamente relatada à Microsoft e corrigida pelo fornecedor durante o seu Lançamento Patch Tuesday de Outubro. 

MysterySnail RAT

O exploit de elevação de privilégio CVE-2021-40449 foi ativamente utilizado em campo para entregar um trojan de acesso remoto personalizado, rastreado como MysterySnail pelos pesquisadores da Kaspersky. O novo RAT é um malware do tipo shell remoto capaz de extrair dados do sistema dos hosts comprometidos e executar um conjunto de comandos maliciosos básicos recebidos do servidor de comando e controle (C&C) dos atacantes. Em particular, o Trojan pode ler e deletar arquivos, encerrar processos arbitrários, criar e enviar novos arquivos, spawn novos processos, lançar shells interativos, atuar como um servidor proxy, entre outros.

De acordo com especialistas, a funcionalidade do MysterySnail é típica para shells remotos e não é realmente avançada. Ainda assim, o novo Trojan se destaca entre seus “irmãos” devido à grande lista de comandos e capacidades adicionais como a habilidade de atuar como um proxy.

Traços do APT IronHusky

Pesquisas da Kaspersky vinculam o novo MysterySnail a um APT IronHusky afiliado à China. Enquanto analisavam a última campanha de ciberespionagem, especialistas em segurança identificaram que a operação maliciosa dependia da mesma infraestrutura de C&C utilizada pelo IronHusky em 2012. Além disso, a decomposição do MystertSnail revelou sobreposição de código com outras amostras maliciosas atribuídas ao grupo.

Os primeiros traços de atividade do IronHusky foram identificados em 2017 durante a investigação da campanha maliciosa direcionada aos ativos governamentais e militares russos e mongóis. Em 2018, os pesquisadores da Kaspersky detectaram os adversários do IronHusky explorando a falha de corrupção de memória do Microsoft Office (CVE-2017-11882) para entregar PlugX e PoisonIvy, os RATs frequentemente usados por coletivos de hackers de língua chinesa.

Detecção MysterySnail RAT

Para prevenir possíveis comprometimentos pelo malware MysterySnail RAT, você pode baixar um conjunto de regras Sigma dedicadas lançadas pelos nossos desenvolvedores atentos do Threat Bounty.

Ataques MysterySnail RAT com Windows Zero-Day CVE-2021-40449 (via proxy)

Esta regra de Sittikorn Sangrattanapitak ajuda a detectar possíveis infecções pelo MysterySnail via zero-day Windows CVE-2021-40449. A detecção possui traduções para as seguintes plataformas de ANALÍTICA DE SEGURANÇA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.

A regra está mapeada para a metodologia MITRE ATT&CK abordando as táticas de Comando e Controle. Em particular, a detecção aborda a técnica de Codificação de Dados (t1132) bem como a sub-técnica Protocolos Web (t1071.001) da técnica de Protocolo de Camada de Aplicação (t1071).

Ataques MysterySnail com Windows Zero-Day

Esta regra de Osman Demir também detecta infecções MysterySnail realizadas com o zero-day do Windows recentemente descoberto. A detecção possui traduções para as seguintes plataformas de ANALÍTICA DE SEGURANÇA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Sentinel One, Microsoft Defender ATP FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

A regra está mapeada para a metodologia MITRE ATT&CK abordando as táticas de Execução. Em particular, a detecção aborda a sub-técnica de Shell de Comando do Windows (t1059.003) da técnica de Intérprete de Comandos e Scripts (t1059) bem como a sub-técnica Rundll32 (t1218.011) da técnica de Execução de Proxy de Binário Assinado (t1218).

Registre-se na Plataforma de Detecção como Código da SOC Prime para acessar o conteúdo de detecção de ameaças baseado em Sigma mais atualizado, continuamente atualizado por mais de 300 pesquisadores e entregue a mais de 20 plataformas SIEM e XDR. Deseja participar de nossa iniciativa de crowdsourcing para defensores cibernéticos individuais e desenvolver suas próprias regras Sigma? Junte-se ao nosso Programa de Recompensa por Ameaças!

Ir para a Plataforma Juntar-se ao Threat Bounty