By موتورهای تشخیص رفتار و پیشگیری از بهره برداری ما اخیراً بهره برداری از آسیب پذیری در درایور هسته Win32k را شناسایی کرده و منجر به تحقیق در مورد کل عملیات مجرمانه سایبری در پشت بهره برداری شده است. ما این آسیب پذیری (CVE-2021-40449) را به مایکروسافت گزارش کردیم و شرکت آن را در یک به روزرسانی معمولی که در 12 اکتبر منتشر شد ، وصله کرد. بنابراین ، طبق معمول پس از Patch Tuesday ، توصیه می کنیم Microsoft Windows را در اسرع وقت به روز کنید.
CVE-2021-40449 برای
استفاده شد CVE-2021-40449 یک آسیب پذیری پس از استفاده رایگان در عملکرد NtGdiResetDC درایور Win32k است. توضیحات فنی دقیق در پست Securelist ما موجود است ، اما به طور خلاصه ، این آسیب پذیری می تواند منجر به نشت آدرس های ماژول هسته در حافظه کامپیوتر شود. سپس مجرمان سایبری از این نشت برای افزایش امتیازات یک فرآیند مخرب دیگر استفاده می کنند.
از طریق افزایش امتیازات ، مهاجمان توانستند MysterySnail ، تروجان دسترسی از راه دور (RAT) را بارگیری و راه اندازی کنند که به مهاجمان دسترسی به سیستم قربانی را می دهد.
MysterySnail
تروجان با جمع آوری اطلاعات در مورد سیستم آلوده شروع می کند و آن را به سرور C&C ارسال می کند. سپس ، از طریق MysterySnail ، مهاجمان می توانند دستورات مختلفی را صادر کنند. به عنوان مثال ، آنها می توانند یک فایل خاص ایجاد ، خوانده یا حذف کنند. ایجاد یا حذف یک فرآیند ؛ دریافت فهرست فهرست ؛ یا یک کانال پروکسی باز کنید و داده ها را از طریق آن ارسال کنید.
از دیگر ویژگی های MysterySnail می توان به مشاهده لیست درایوهای متصل ، نظارت بر اتصال درایوهای خارجی در پس زمینه و موارد دیگر اشاره کرد. تروجان همچنین می تواند پوسته تعاملی cmd.exe را راه اندازی کند (با کپی کردن فایل cmd.exe در پوشه موقت با نام متفاوت).
حملات از طریق CVE-2021-40449
سوء استفاده از این آسیب پذیری یک رشته را پوشش می دهد سیستم عامل های خانواده مایکروسافت ویندوز: Vista، 7، 8، 8.1، Server 2008، Server 2008 R2، Server 2012، Server 2012 R2، Windows 10 (build 14393)، Server 2016 (build 14393)، 10 (build 17763) ، و سرور 2019 (ساخت 17763). به گفته کارشناسان ما ، این سوءاستفاده به طور خاص برای افزایش امتیازات در نسخه های سرور سیستم عامل وجود دارد.
پس از تشخیص تهدید ، کارشناسان ما دریافتند که سوء استفاده و بدافزار MysterySnail که در سیستم بارگذاری می شود ، در عملیات جاسوسی استفاده گسترده ای شده است. شرکتهای فناوری اطلاعات ، سازمانهای دیپلماتیک و شرکتهایی که برای صنایع دفاعی کار می کنند.
با تشکر از Kaspersky Threat Attribution Engine ، کارشناسان ما توانستند شباهت هایی در کد و عملکرد MysterySnail و بدافزارهای مورد استفاده توسط گروه IronHusky پیدا کنند. علاوه بر این ، یک گروه APT چینی زبان از برخی آدرس های سرور C&C MysterySnail در 2012 استفاده کرد.
برای اطلاعات بیشتر در مورد حمله ، از جمله شرح مفصل سوء استفاده و شاخص های سازش ، پست Securelist ما را ببینید.
چگونه برای ایمن ماندن
با نصب جدیدترین وصله های مایکروسافت شروع کنید و با نصب راه حل های امنیتی قوی که به طور پیشگیرانه آسیب پذیری ها را در همه رایانه های دارای دسترسی به اینترنت شناسایی و متوقف می کند ، از آسیب پذیری های روز صفر جلوگیری کنید. موتورهای تشخیص رفتار و فناوری های پیشگیری از سوء استفاده ، مانند آنهایی که در Kaspersky Endpoint Security for Business ، CVE-2021-40449 را شناسایی کرده اند.
(تابع (d، s، id) {var js، fjs = d.getElementsByTagName (s) [0]؛ if (d.getElementById (id)) {return} js = d.createElement (s)؛ js.id = id؛ js.src = "https: //connect.facebook.net /en_US /all.js"؛ fjs.parentNode.insertBefore (js، fjs)} (سند ، "اسکریپت" ، "facebook-jssdk "))؛ .
