Çince konuşan Ironhusky bilgisayar korsanları Rus ve Moğol hükümet organizasyonlarını yükseltilmiş Mysterysnail uzaktan erişim Trojan (sıçan) kötü amaçlı kullanan hedefliyor.
Kaspersky’nin Global Araştırma ve Analiz ekibindeki (Great) güvenlik araştırmacıları, saldırganların ikinci aşama yükleri indiren ve tehlikeye atılan sistemlerde kalıcılık kazanan bir kelime belgesi olarak kamufle edilen kötü niyetli bir MMC betiği kullanarak sıçan kötü amaçlı yazılımları konuşlandırdığı son saldırıları araştırırken güncellenmiş implantı gördü.
Kötü amaçlı yüklerden biri, komut ve kontrol sunucuları ile hacklenen cihazlar arasında dosyaları aktarmaya, komut kabuklarını çalıştırmaya, yeni işlemler oluşturmaya, dosyaları silin ve daha fazlasını aktarmaya yardımcı olan bilinmeyen bir aracı arka kapıdır.
Kaspersky, “Telemetremizde, bu dosyalar, 2021’de tarif ettiğimiz bir implant olan Mysterysnail Rat kötü amaçlı yazılımlarının ayak izlerini bıraktığı ortaya çıktı. Gözlenen enfeksiyon vakalarında, MysterySnail Rat, uzlaşmış makinelerde hizmet olarak devam edecek şekilde yapılandırıldı.” Dedi.
“Özellikle, MysterySnail Rat ile ilgili son müdahaleleri engelledikten kısa bir süre sonra, Saldırganların Saldırganlar’ın yeniden düzenlenmiş ve daha hafif bir versiyonunu konuşlandırarak saldırılarını yapmaya devam etmelerini gözlemledik. Bu sürüm tek bir bileşenden oluşuyor ve bu yüzden It MysteryMonosnail olarak adlandırdık.”
Buldukları gibi, yükseltilmiş sıçan kötü amaçlı yazılım düzinelerce komutu destekler, saldırganların güvenliği ihlal edilmiş cihazdaki hizmetleri yönetmesine, kabuk komutlarını yürütmesine, süreçleri ortaya çıkarmasına, süreçlerini yumruklamasına ve dosyaları yönetmesine izin verir.
İlk dört yıl önce bendim
Bu son arka kapı versiyonu, Kaspersky’nin Ağustos 2021’in sonlarında BT şirketlerine, askeri/savunma müteahhitlerine ve Rusya ve Moğolistan’daki diplomatik kuruluşlara yönelik yaygın casusluk saldırılarında ilk kez tespit ettiği orijinal Mysterysnail Rat’a benzer.
O zaman, Ironhusky hackleme grubu, Windows Win32k çekirdek sürücü güvenlik açığını (CVE-2021-40449) hedefleyen sıfır gün istismarları kullanılarak tehlikeye atılan sistemlere kötü amaçlı yazılımların kullanıldığı gözlemlendi.
Çinliler ilk olarak Kaspersky tarafından 2017 yılında Rus-Moğol askeri müzakerelerinde istihbarat toplamak amacıyla Rus ve Moğol hükümet kuruluşlarını hedefleyen bir kampanyayı araştırdı.
Bir yıl sonra, Kaspersky ayrıca, tipik olarak Zehir ve Plugx dahil olmak üzere Çin hack grupları tarafından kullanılan sıçanları yaymak için bir Microsoft Office Bellek Yolsuzluğu Güvenlik Açığı’nı (CVE-2017-11882) kullandıklarını gözlemledi.
Perşembe günü yayınlanan Kaspersky raporu, uzlaşma göstergelerini ve Ironhusky’nin MysterySnail Rat’ı kullanan son saldırıları hakkında ek teknik detaylar içeriyor.