Kaspersky entdeckt MysterySnail: Zero Day Exploit für Windows OS

Kaspersky-Warnung vor Missbrauch der Schwachstelle für Spionage-Kampagnen gegen IT-Unternehmen, Militär- und Verteidigungsorganisationen sowie diplomatische Einrichtungen

[datensicherheit.de, 13.10.2021] Kaspersky-Experten haben nach eigenen Angaben einen neuen „Zero Day Exploit“ entdeckt: „MysterySnail“ sei im Rahmen der Analyse einer Reihe von Angriffen zur Erhöhung von Berechtigungen auf „Microsoft Windows“-Servern identifiziert worden – zuvor hätten die automatisierten Erkennungstechnologien diese Angriffe erfasst.

Kaspersky entdeckte Angriffe, welche Exploit zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern verwenden

In der ersten Jahreshälfte 2021 haben Kaspersky-Experten demnach eine Zunahme von „Zero Day“-Angriffen beobachtet. Dabei seien unbekannte Software-Fehler ausgenutzt worden, „die bereits von Angreifern entdeckt wurden, von denen aber der Anbieter noch keine Kenntnis hat“. Dementsprechend stehe kein Patch zur Verfügung und die Wahrscheinlichkeit eines erfolgreichen Angriffs steige.
Die Technologien von Kaspersky hätten eine Reihe von Angriffen erkannt, welche einen „Exploit“ zur Erhöhung von Berechtigungen auf „Microsoft Windows“-Servern verwendet hätten. „Dieser Exploit hatte viele Debug-Strings von einem älteren, öffentlich bekannten Exploit für die Schwachstelle CVE-2016-3309, eine genauere Analyse ergab jedoch, dass es sich um einen neuen Zero Day handelt. Kaspersky-Forscher tauften diesen Aktivitäten-Cluster ,MysterySnail‘.“

Kaspersky-Experten bringen aktuelle Angriffe mit der berüchtigten IronHusky-Gruppe in Verbindung

Aufgrund der entdeckten Code-Ähnlichkeit und der Wiederverwendung der C&C-Infrastruktur (Command-and-Control) brächten die Kaspersky-Experten diese Angriffe mit der berüchtigten „IronHusky“-Gruppe und chinesischsprachigen APT-Aktivitäten aus dem Jahr 2012 in Verbindung.
Bei der Analyse der beim „Zero Day“-Exploit verwendeten Malware-Payload habe Kaspersky herausgefunden, dass Varianten dieser Malware in weit verbreiteten Spionagekampagnen gegen IT-Firmen, Militär- und Verteidigungsunternehmen sowie diplomatische Einrichtungen eingesetzt worden seien. Diese Sicherheitslücke sei Microsoft gemeldet und am 12. Oktober 2021 im Rahmen des Oktober-„Patch Tuesday“ gepatcht worden.

Kaspersky-Hinweis: Bisher unbekannte Schwachstellen der Anbieter potenziell ernsthafte Bedrohung für Unternehmen

„Wir beobachten in den letzten Jahren ein anhaltendes Interesse seitens der Angreifer, neue ,Zero Days‘ zu finden und auszunutzen. Bisher unbekannte Schwachstellen der Anbieter können eine ernsthafte Bedrohung für Unternehmen darstellen. Die meisten von ihnen teilen jedoch ähnliche Verhaltensweisen, so dass es wichtig ist, sich auf die neuesten Bedrohungsinformationen zu verlassen und Sicherheitslösungen zu installieren, die proaktiv unbekannte Bedrohungen entdecken“, erläutert Boris Larin, Sicherheitsexperte im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Kaspersky-Empfehlungen zum Schutz vor „MysterySnail“:

• Das „Microsoft Windows“-Betriebssystem und andere Software von Drittanbietern umgehend aktualisieren.
• Eine zuverlässige „Endpoint“-Sicherheitslösung wie z.B. „Kaspersky Endpoint Security for Business“ verwenden, auf Exploit-Prävention, Verhaltenserkennung und einer Korrektur-Engine basierend, um schädliche Aktionen rückgängig zu machen.
• Anti-APT- und EDR-Lösungen implementieren, welche Funktionen zur Bedrohungserkennung, -untersuchung und rechtzeitigen Behebung von Vorfällen ermöglichen.
• Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben und regelmäßig geschult werden.
• Dedizierte Services wie z.B. „Kaspersky Managed Detection and Response“ könnten dabei helfen, Angriffe frühzeitig zu erkennen und zu stoppen.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Boris Larin & Costin Raiu, 12.10.2021
MysterySnail attacks with Windows zero-day

Kaspersky auf YouTube, 01.09.2021
#Kaspersky #GReAT #APTs / What Advanced Threat Actors Got Up to in Q2 2021

GitHub
siberas / CVE-2016-3309_Reloaded

SECURELIST by Kaspersky, GreAT, 12.04.2018
APT Trends report Q1 2018