Kaspersky araştırmacıları, yıllarca süren sessizlikten sonra Moğolistan ve Rusya’yı hedefleyen Çin Ironhusky APT ile bağlantılı bir kötü amaçlı yazılım olan Mysterysnail Rat’ın yeniden ortaya çıktığını bildiriyor. Yeni taktikleri ve modüler tasarımı hakkında bilgi edinin.
Siber suçlular sürekli olarak siber saldırılar için yeni kötü amaçlı yazılımlar geliştirmektedir. Bu kötü niyetli araçların değişen ömrü vardır; Bazı kötü amaçlı yazılım aileleri onlarca yıldır izlenirken, diğerleri kamuoyu bilincinden nispeten hızlı bir şekilde yok oluyor. 2021’de Kaspersky araştırmacıları, CVE-2021-40449 sıfır gün güvenlik açığını araştırmaları sırasında Mysterysnail Rat olarak adlandırdıkları bir kısa ömürlü implant keşfetti.
Keşfi sırasında, Mysterysnail Rat, en az 2017’den bu yana aktif olan Çince konuşan bir tehdit grubu olan Ironhusky Apt ile bağlantılıydı. İlk rapordan sonra, bu kötü amaçlı yazılım hakkında daha fazla kamuya açık detay ortaya çıkmadı.
Bununla birlikte, son gözlemler, Moğolistan ve Rusya’daki hükümet kuruluşlarını hedefleyen yeni bir Mysteriysnail Rat versiyonunun konuşlandırılmasına teşebbüs etti. Bu hedefleme, Ironhusky’nin 2018’e kadar uzanan bu iki ülkeye özel ilgisini gösteren önceki zeka ile uyumludur ve sıçanın birkaç yıldır gizli olduğunu düşündürmektedir.
Yakın tarihli bir enfeksiyon, Moğolistan Ulusal Kara Ajansı’ndan (AlamGac) bir belge olarak gizlenmiş kötü niyetli bir MMC senaryosu ile başladı. Bu komut dosyası, ikincil bir kötü amaçlı bileşen ve bir tuzak docx dosyası içeren Fileio’dan bir ZIP arşivi indirdi. Komut dosyası daha sonra arşivi çıkarır ve tuzağı içine yerleştirir %AppData%\Cisco\Plugins\X86\bin\etc\Updateve yürüt CiscoCollabHost.exe Arşivden. Kalıcılık için, Ciscocollabhost.exe’yi başlangıçta çalıştırdı ve kullanıcıyı aldatmak için tuzak belgesini açtı.
Ciscocollabhost.exe meşru iken, arşiv de kötü niyetli bir DLL düzenledi CiscoSparkLauncher.dllyeni bir aracı arka kapı görevi gören meşru süreçle dll sideloading için tasarlanmıştır. Bu arka kapı, açık kaynaklı boru-sunucu projesinden yararlanarak C2 iletişimini kolaylaştırdı.
Yeni sürüm, yaklaşık 40 komut yürütebilir ve dosya sistemi yönetimi, komut yürütme gibi çeşitli kötü amaçlı etkinlikler sağlayabilir. cmd.exe Süreç oluşturma ve fesih, hizmet yönetimi ve ağ kaynağı bağlantısı.
2021 örneklerinin aksine, yeni sürüm, komut yürütme için beş ek DLL modülü kullanır, bu da önceki sürümün tek kötü amaçlı bileşeninden bir anahtar yükseltme.
Ayrıca, enfekte edilmiş makinelerde hizmet olarak kalıcılık oluşturacak şekilde yapılandırılmıştır ve kötü niyetli DLL, RC4 ve XOR algoritmaları kullanılarak şifrelenmiş bir yük yükler. Şifre çözme üzerine, DLL oyma yoluyla belleğe yüklenir, içindeki kodla kolaylaştırılır. run_pe kütüphane.
Son MysterySnail sıçan müdahalelerinin bozulmasının ardından, tehdit aktörleri MysteryMonosnail adında modifiye edilmiş, tek bileşenli bir varyantın konuşlandırılmasıyla devam etti. Bu aerodinamik sürüm, orijinal sıçanla aynı C2 sunucularıyla iletişim kurdu, ancak HTTP yerine WebSocket protokolünü kullandı ve listeleme dizinleri, dosya yazma ve başlatma işlemleri ve uzaktan kabuklar gibi işlemleri sağlayan sadece 13 temel komuta sahip bir sete sahipti.
MysterySnail Rat’ın geri dönüşü, kaç yaşında kötü amaçlı yazılımların sadece kaybolmadığını gösterir; gelişirler. Ayrıca, yeni ve yeniden ortaya çıkan siber güvenlik tehditlerinin üstünde kalmanın, sistemleri güvende tutmak için anahtar olduğunu hatırlatıyor.