Na analyse van een reeks geblokkeerde aanvallen in de nazomer van 2021 ontdekten Kaspersky-onderzoekers een nieuwe zero-daykwetsbaarheid die gebruik maakte van een ‘elevation of privilege’-exploit op meerdere Microsoft Windows-servers.
Gedurende de eerste helft van het jaar hebben Kaspersky-experts een toename waargenomen van aanvallen die gebruikmaken van zero-days. Een zero-daykwetsbaarheid is een onbekende softwarebug die door aanvallers wordt ontdekt voordat de softwareaanbieder er weet van heeft. Omdat de aanbieder niet op de hoogte is, bestaat er geen patch voor deze zero-daykwetsbaarheden en hebben aanvallen hierdoor een grote kans van slagen.
Kaspersky ontdekte een reeks aanvallen waarbij gebruik werd gemaakt van een ‘elevation of privilege’-exploit op meerdere Microsoft Windows-servers. Deze exploit had veel debug strings van een oudere, publiekelijk bekende exploit voor de kwetsbaarheid genaamd CVE-2016-3309, maar bij nadere analyse bleek dat Kaspersky-onderzoekers een nieuwe zero-day hadden ontdekt. Kaspersky-onderzoekers geven dit cluster van activiteiten de naam MysterySnail.
De ontdekte codeovereenkomst met, en het hergebruik van, Command and Control (C&C)-infrastructuur bracht de onderzoekers ertoe deze aanvallen in verband te brengen met de beruchte IronHusky-groep en Chineessprekende APT-activiteit die teruggaan tot 2012.
Onderzoekers van Kaspersky analyseerden de malware payload die met de zero-daykwetsbaarheid werd gebruikt en ontdekten dat varianten van deze malware werden gebruikt in wijdverspreide spionagecampagnes tegen IT-bedrijven, toeleveranciers voor het leger en defensie en diplomatieke partijen.
De kwetsbaarheid werd gemeld aan Microsoft en gepatcht op 12 oktober 2021, als onderdeel van de oktober Patch Tuesday.
Kaspersky-producten detecteren en beschermen tegen de exploit voor de bovengenoemde kwetsbaarheid en bijbehorende malwaremodules.
Boris Larin, security expert bij Kaspersky Global Research and Analysis Team (GReAT): "De afgelopen jaren zien we een trend in aanvallers die consistente interesse tonen in het vinden en exploiteren van nieuwe zero-days. Met voorheen onbekende kwetsbaarheden van leveranciers, kunnen zij een serieuze bedreiging vormen voor organisaties. Daarom is het belangrijk om te vertrouwen op de nieuwste informatie over bedreigingen en security-oplossingen te installeren die proactief onbekende bedreigingen opsporen".
Lees meer over deze nieuwe zero-day op Securelist.
Om je organisatie te beschermen tegen aanvallen die misbruik maken van de eerdergenoemde kwetsbaarheden, raden de Kaspersky-experts aan om Microsoft Windows OS en andere software van derden zo snel en regelmatig mogelijk te updaten. Daarnaast wordt het gebruik van een betrouwbare endpoint security-oplossing aangeraden, die is voorzien van exploit prevention, gedragsdetectie en een remediation engine die kwaadaardige acties kan terugdraaien. Installeer ook anti-APT- en EDR-oplossingen, zodat bedreigingen opgespoord en gedetecteerd kunnen worden, incidenten onderzocht kunnen worden en deze tijdig kunnen worden hersteld. Bied je SOC-team toegang tot de nieuwste informatie over bedreigingen en school ze regelmatig bij met professionele training. Samen met goede endpoint-bescherming kunnen speciale services helpen tegen high-profile aanvallen. De Kaspersky Managed Detection and Response-service kan helpen aanvallen in een vroeg stadium te identificeren en te stoppen voordat aanvallers hun doel bereiken.
