MysterySnail, exploit de Día Cero para Windows OS

Variantes de este malware se utilizaron en campañas de espionaje generalizadas contra empresas de TI, contratistas militares y de defensa, y entidades diplomáticas

A mediados de Q3 de 2021, nuestras tecnologías de detección automatizada  impidieron una serie de ataques utilizando un exploit de elevación de privilegios en varios servidores de Microsoft Windows. Tras un análisis más detallado del ataque, los investigadores de la compañía descubrieron un nuevo exploit de día cero.

Durante la primera mitad del año, nuestros expertos han observado un aumento en los ataques que explotan los días cero. Una vulnerabilidad de día cero es un error de software desconocido, descubierto por los atacantes antes de que el proveedor se percate de su existencia. Dado que los proveedores ignoran su presencia, no existe ningún parche para las vulnerabilidades de día cero, por lo que es probable que los ataques tengan éxito inesperadamente.

Nuestras tecnologías detectaron una serie de ataques utilizando un exploit de elevación de privilegios en varios servidores de Microsoft Windows. Este exploit tenía muchas cadenas de depuración de un exploit más antiguo y conocido públicamente para la vulnerabilidad CVE-2016-3309; pero un análisis más detallado reveló que los investigadores de la compañía habían descubierto un nuevo día cero al que decidieron llamar MysterySnail.

La similitud de código descubierta y la reutilización de la infraestructura de Comando y Control (C&C) llevó a los investigadores a conectar estos ataques con el infame grupo IronHusky y la actividad APT de origen chino que se remonta a 2012.

Al analizar la carga útil de malware utilizada con el exploit de día cero, los investigadores encontraron variantes de este malware que se utilizaron en campañas de espionaje generalizadas contra empresas de TI, contratistas militares y de defensa, así como entidades diplomáticas.

La vulnerabilidad fue reportada a Microsoft y parchada el 12 de octubre de 2021, como parte de los “Martes de Parches” que se realizan a lo largo de este mes.

Los productos de Kaspersky detectan y protegen contra la vulnerabilidad de la vulnerabilidad anterior y los módulos de malware asociados.

“Durante los últimos años, hemos observado la tendencia establecida en el interés constante de los atacantes en encontrar y explotar nuevos días cero. Las vulnerabilidades, anteriormente desconocidas para los proveedores, pueden representar una seria amenaza para las organizaciones. Sin embargo, la mayoría conlleva conductas similares. Por eso es importante confiar en la inteligencia de amenazas más reciente e instalar soluciones de seguridad que encuentren amenazas desconocidas de manera proactiva“, comenta Boris Larin, experto en seguridad de Kaspersky.

Para proteger a su organización de los ataques que aprovechan las vulnerabilidades de día cero, recomendamos:

  • Actualizar el sistema operativo Microsoft Windows y otro software de terceros lo antes posible y hágalo con regularidad.
  • Utilizar una solución de seguridad para endpoints confiable, como Kaspersky Endpoint Security for Business, que funciona con prevención de exploits, detección de comportamiento y un motor de corrección que puede revertir acciones maliciosas.
  • Instalar soluciones anti-APT y EDR, lo que permite capacidades de detección y descubrimiento de amenazas, investigación y reparación oportuna de incidentes. Proporcione a su equipo de SOC acceso a la inteligencia de amenazas más reciente y edúquelos periódicamente con capacitación profesional. Todo lo anterior está disponible en el marco de Kaspersky Expert Security.
  • Junto con la protección adecuada para endpoints, los servicios dedicados pueden ayudar contra ataques de alto perfil. El servicio Kaspersky Managed Detection and Response puede ayudar a identificar y detener ataques en las primeras etapas antes de que los atacantes logren sus objetivos.

 

Consejos