Peretas Ironhusky yang berbahasa Cina menargetkan organisasi pemerintah Rusia dan Mongolia menggunakan malware Mystysnail Remote Access (tikus) yang ditingkatkan.
Peneliti keamanan di tim penelitian dan analisis global Kaspersky (hebat) melihat implan yang diperbarui sambil menyelidiki serangan baru-baru ini di mana para penyerang menggunakan malware tikus menggunakan skrip MMC berbahaya yang disamarkan sebagai dokumen Word, yang mengunduh muatan tahap kedua dan memperoleh persistensi pada sistem yang dikompromikan.
Salah satu muatan berbahaya adalah pintu belakang perantara yang tidak diketahui yang membantu mentransfer file antara server perintah dan kontrol dan perangkat yang diretas, menjalankan cangkang perintah, membuat proses baru, menghapus file, dan banyak lagi.
“Dalam telemetri kami, file -file ini ternyata meninggalkan jejak jejak malware tikus mystysnail, sebuah implan yang kami jelaskan pada tahun 2021. Dalam kasus infeksi yang diamati, tikus mystysnail dikonfigurasi untuk bertahan pada mesin yang dikompromikan sebagai layanan,” Kata Kaspersky.
“Khususnya, beberapa saat setelah kami memblokir intrusi baru -baru ini yang terkait dengan tikus mystysnail, kami mengamati para penyerang untuk terus melakukan serangan mereka, dengan menggunakan tikus mystysnail versi yang lebih ringan dan lebih ringan. Versi ini terdiri dari satu komponen, dan itulah sebabnya kami menjuluki Mystymonosnail.” “
Seperti yang mereka temukan, malware tikus yang ditingkatkan mendukung lusinan perintah, memungkinkan penyerang untuk mengelola layanan pada perangkat yang dikompromikan, menjalankan perintah shell, menelurkan dan membunuh proses, dan mengelola file, antara lain.
Pertama kali terlihat hampir empat tahun lalu
Versi backdoor terbaru ini mirip dengan tikus mystysnail asli, yang Kaspersky pertama kali terdeteksi pada akhir Agustus 2021 Dalam serangan spionase yang meluas terhadap perusahaan TI, kontraktor militer/pertahanan, dan entitas diplomatik di Rusia dan Mongolia.
Pada saat itu, Grup Peretasan Ironhusky diamati menggunakan malware pada sistem yang dikompromikan menggunakan eksploitasi nol-hari yang menargetkan kerentanan driver kernel Windows Win32K (CVE-2021-40449).
Apt Cina itu Pertama kali terlihat oleh Kaspersky pada tahun 2017 Saat menyelidiki kampanye yang menargetkan entitas pemerintah Rusia dan Mongolia dengan tujuan akhir mengumpulkan intelijen tentang negosiasi militer Rusia-Mongolia.
Satu tahun kemudian, Kaspersky juga mengamati mereka mengeksploitasi kerentanan korupsi memori Microsoft Office (CVE-2017-11882) untuk menyebarkan tikus yang biasanya digunakan oleh kelompok peretasan Cina, termasuk keracunan dan plugx.
Itu Laporan Kaspersky Diterbitkan pada hari Kamis mencakup indikator kompromi dan detail teknis tambahan tentang serangan Ironhusky baru -baru ini menggunakan tikus mystysnail.
