Pillole di Cybersecurity

Pentration testing, Ethical Hacking, Analisi Forense, Malware Analysis...

IronHusky sfrutta uno zero-day su Microsoft Windows

Un gruppo criminale legato alla Cina, soprannominato #IronHusky ed appartenente alla famigerata categoria degli #APT, ha sfruttato una vulnerabilità zero-day per implementare il Rat #MysterySnail grazie alla scoperta di un exploit in Windows per l'elevazione dei privilegi.
Secondo Kaspersky, la campagna ha un impatto sulle versioni client e server di #Windows, da Windows 7 e Windows Server 2008 alle ultime versioni, tra cui Windows 11 e Windows Server 2022.
IronHusky sta sfruttando lo zero-day per installare una shell remota per eseguire attività dannose ai server di destinazione.
MysterySnail raccoglie e ruba informazioni di sistema prima di raggiungere il suo #C2 per ulteriori comandi.
Esegue più attività come la generazione di nuovi processi, l'uccisione di quelli in esecuzione, l'avvio di shell interattive e l'esecuzione di un server proxy con supporto per un massimo di 50 connessioni parallele.
Uno dei campioni analizzati è di grandi dimensioni, circa 8,29 MB, poiché viene compilato utilizzando la libreria #OpenSSL.
Il malware non è così sofisticato, tuttavia, viene fornito con un gran numero di comandi implementati e funzionalità extra, come la scansione delle unità disco inserite e l'azione come proxy.
Il bug sfruttato, tracciato come #CVE-2021-40449, era già stato patchato da #Microsoft nel Patch Tuesday di ottobre. Si tratta di una vulnerabilità #use-after-free, ovvero una vulnerabilità creata dall'utilizzo errato dell'allocazione dinamica di memoria.
MysterySnail è stato collegato al gruppo APT IronHusky a causa del riutilizzo dell'infrastruttura C2 impiegata per la prima volta nel 2012 ed alla sovrapposizione diretta di codice e funzionalità con altri malware a loro associati.

Pin It

A cura di...

Antonio Capobianco
Antonio Capobianco
Malware Analyst
Image
Vincenzo Alonge
Ethical Hacker e Forensic Analyst
Image
Andrea Tassotti
Ethical Hacker e Pentester
Image
Andrea Covino
Ethical Hacker e Forensic Analyst

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image

Vieni a trovarci

Vieni a trovarci nella nostra sede a Roma, in Via Tiburtina 912, CAP 00156, ROMA, dal Lunedì al Venerdì dalle ore 9:30 - 18:30
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
© 2021 Fata Informatica. Tutti i diritti riservati.