In der ersten Jahreshälfte haben Kaspersky-Experten eine Zunahme von Zero-Day-Angriffen beobachtet [1]. Dabei werden unbekannte Softwarefehler ausgenutzt, die bereits von Angreifern entdeckt wurden, von denen aber der Anbieter noch keine Kenntnis hat. Dementsprechend steht kein Patch zur Verfügung und die Wahrscheinlichkeit eines erfolgreichen Angriffs steigt.

Die Technologien von Kaspersky haben dabei eine Reihe von Angriffen erkannt, die einen Exploit zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern verwendeten. Dieser Exploit hatte viele Debug-Strings von einem älteren, öffentlich bekannten Exploit für die Schwachstelle CVE-2016-3309, eine genauere Analyse ergab jedoch, dass es sich um einen neuen Zero-Day handelt. Kaspersky-Forscher tauften diesen Aktivitäten-Cluster MysterySnail.

Aufgrund der entdeckten Code-Ähnlichkeit und der Wiederverwendung der Command-and-Control (C&C)-Infrastruktur bringen die Kaspersky-Experten diese Angriffe mit der berüchtigten IronHusky-Gruppe und chinesischsprachigen APT-Aktivitäten aus dem Jahr 2012 in Verbindung. Bei der Analyse der beim Zero-Day-Exploit verwendeten Malware-Payload fand Kaspersky heraus, dass Varianten dieser Malware in weit verbreiteten Spionagekampagnen gegen IT-Firmen, Militär- und Verteidigungsunternehmen sowie diplomatische Einrichtungen eingesetzt wurden. Die Sicherheitslücke wurde Microsoft gemeldet und am 12. Oktober 2021 im Rahmen des Oktober-Patch-Tuesdays gepatcht.


dr

[1] https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/