A mediados de Q3 de 2021, las tecnologías de detección automatizada de Kaspersky impidieron una serie de ataques utilizando un exploit de elevación de privilegios en varios servidores de Microsoft Windows. Tras un análisis más detallado del ataque, los investigadores de la compañía descubrieron un nuevo exploit de día cero: MysterySnail.
Durante la primera mitad del año, los expertos de Kaspersky han observado un aumento en los ataques que explotan los días cero. Una vulnerabilidad de día cero es un error de software desconocido, descubierto por los atacantes antes de que el proveedor se percate de su existencia. Dado que los proveedores ignoran su presencia, no existe ningún parche para las vulnerabilidades de día cero, por lo que es probable que los ataques tengan éxito inesperadamente.
Las tecnologías de Kaspersky detectaron una serie de ataques utilizando un exploit de elevación de privilegios en varios servidores de Microsoft Windows. Este exploit tenía muchas cadenas de depuración de un exploit más antiguo y conocido públicamente para la vulnerabilidad CVE-2016-3309; pero un análisis más detallado reveló que los investigadores de la compañía habían descubierto un nuevo día cero al que decidieron llamar MysterySnail.
La similitud de código descubierta y la reutilización de la infraestructura de Comando y Control (C&C) llevó a los investigadores a conectar estos ataques con el infame grupo IronHusky y la actividad APT de origen chino que se remonta a 2012.
Al analizar la carga útil de malware utilizada con el exploit de día cero, los investigadores de Kaspersky encontraron variantes de este malware que se utilizaron en campañas de espionaje generalizadas contra empresas de TI, contratistas militares y de defensa, así como entidades diplomáticas.
La vulnerabilidad fue reportada a Microsoft y parchada el 12 de octubre de 2021, como parte de los “Martes de Parches” que se realizan a lo largo de este mes.
“Durante los últimos años, hemos observado la tendencia establecida en el interés constante de los atacantes en encontrar y explotar nuevos días cero. Las vulnerabilidades, anteriormente desconocidas para los proveedores, pueden representar una seria amenaza para las organizaciones. Sin embargo, la mayoría conlleva conductas similares. Por eso es importante confiar en la inteligencia de amenazas más reciente e instalar soluciones de seguridad que encuentren amenazas desconocidas de manera proactiva”, comenta Boris Larin, experto en seguridad de Kaspersky.