Устойчивость MysterySnail RAT: угроза с историей
Источник: securelist.com
MysterySnail RAT — это кибер-имплантат, связанный с группой IronHusky APT, который, как полагают, ведет свою деятельность как минимум с 2017 года. Первоначально обнаруженная в ходе расследования уязвимости нулевого дня CVE-2021-40449, эта вредоносная программа на протяжении нескольких лет оставалась вне поля зрения. Тем не менее, недавние наблюдения новых версий RAT, нацеленных на правительственные организации в Монголии и России, подтверждают долговременный интерес IronHusky к этим регионам.
Способы распространения
В результате недавних атак MysterySnail RAT был распространен с помощью вредоносного MMC-скрипта, замаскированного под документ Национального земельного агентства Монголии. Пользователи, загрузившие ZIP-файл, получили как подлинный документ, так и вредоносную полезную нагрузку. В этом контексте можно выделить следующие ключевые моменты:
- Законный исполняемый файл CiscoCollabHost.exe сопровождался вредоносной библиотекой DLL CiscoSparkLauncher.dll.
- Библиотека выполняет функции промежуточного бэкдора, обеспечивая обмен данными между командами и контролерами (C2).
- Для выполнения использовались методы дополнительной загрузки библиотеки DLL.
Современные возможности и структура RAT
Текущая версия MysterySnail RAT демонстрирует передовые методы обфускации. В ней используется шифрованный файл MYFC.log, загружаемый во время выполнения, для маскировки функций Windows API, что значительно усложняет процесс обратного проектирования. Бэкдор поддерживает множество команд, позволяющих злоумышленникам:
- Внедрять новые компоненты вредоносного ПО, такие как sophosfilesubmitter.exe и вредоносный код fltlib.dll.
- Закрепляться на взломанных компьютерах, регистрируясь в качестве службы.
В MysterySnail RAT используется сложное выполнение команд, а в обновленных версиях внедрена модульная архитектура, состоящая из пяти дополнительных библиотечных модулей. Эта модульная структура отличается от однокомпонентного подхода, использовавшегося в предыдущих версиях.
Новые угрозы: MysteryMonoSnail
После недавних сбоев, с которыми столкнулась MysterySnail RAT, злоумышленники начали развертывание облегченной версии, получившей название MysteryMonoSnail. Эта версия имеет следующие характеристики:
- Сниженная функциональность, но аналогичная структура команд.
- Поддержка связи с теми же серверами C2 через протокол WebSocket вместо HTTP.
- Всего 13 команд, предназначенных для выполнения основных задач, таких как манипуляция файлами и выполнение процессов.
Устойчивость MysterySnail RAT и минимальная эволюция на протяжении нескольких лет подчеркивают важность постоянной оценки угроз, связанных с более старыми семействами вредоносных программ. Хакеры могут оставаться пассивными, но продолжают уклоняться от обнаружения и сохранять потенциал для будущих атак. Таким образом, поддержание возможностей обнаружения ранее существовавших вредоносных программ становится критически важным.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
