MysterySnail se hace popular tras el anuncio de la compañía desarrolladora de antivirus y tecnología de seguridad. A lo largo de la primera mitad del año, los expertos de Kaspersky observaron un aumento de los ataques que aprovechan las vulnerabilidades zero-day o de día cero, es decir, un fallo de software desconocido descubierto por los atacantes antes de que el proveedor tenga conocimiento de él. Como el fabricante no es consciente de dicho fallo, no existe ningún parche para subsanar las vulnerabilidades, lo que provoca que los ataques tengan éxito.
Las tecnologías de Kaspersky detectaron una serie de ataques que utilizaban un exploit de elevación de privilegios en varios servidores de Microsoft Windows. Este exploit contenía numerosas cadenas debug de un exploit antiguo y conocido públicamente para la vulnerabilidad CVE-2016-3309, pero un análisis más detallado reveló que los investigadores de Kaspersky habían descubierto un nuevo exploit de día cero al que han bautizado como MysterySnail.
La similitud del código descubierto y la reutilización de la infraestructura de Comando y Control (C&C) llevó a los investigadores a conectar estos ataques con el grupo de habla china IronHusky y su actividad APT, que se remonta a 2012.
Al analizar la carga útil del malware MysterySnail utilizado con el exploit de día cero, los investigadores de Kaspersky descubrieron que las variantes de este malware se utilizaron en campañas de espionaje generalizadas contra empresas de TI, contratistas militares y de defensa, y entidades diplomáticas.
La vulnerabilidad fue reportada a Microsoft y parcheada el 12 de octubre de 2021.
Los productos de Kaspersky detectan y protegen contra el exploit de la mencionada vulnerabilidad y los módulos de malware asociados.
«Durante los últimos años, hemos observado el interés creciente de los atacantes en encontrar y explotar vulnerabilidades de día cero, que pueden suponer una grave amenaza para las organizaciones. Sin embargo, la mayoría de ellas comparten comportamientos similares. Por eso es importante confiar en la última inteligencia de amenazas e instalar soluciones de seguridad que encuentren proactivamente las amenazas desconocidas«, comenta Boris Larin, experto en seguridad del Equipo Global de Investigación y Análisis de Kaspersky (GReAT).
Más información sobre el nuevo exploit disponible en Securelist.
Los expertos de Kaspersky recomiendan:
- Actualizar el sistema operativo Microsoft Windows y otros programas de terceros lo antes posible y hacerlo regularmente
- Utilizar una solución de seguridad para endpoints de confianza, como Kaspersky Endpoint Security for Business, que cuenta con prevención frente a exploits, detección basada en comportamiento y un motor de remediación capaz de revertir las acciones maliciosas.
- Instale soluciones anti-APT y EDR, que permitan descubrir y detectar amenazas, investigar y remediar oportunamente los incidentes. Proporcione a su equipo de SOC acceso a la inteligencia de amenazas más reciente y actualizarlo regularmente con formación profesional. Todo lo anterior está disponible en Kaspersky Expert Security.
- Junto con la protección adecuada del endpoint, los servicios dedicados pueden ayudar a hacer frente a los ataques de alto perfil. El servicio Kaspersky Managed Detection and Response puede ayudar a identificar y detener los ataques en las primeras etapas antes de que los atacantes logren sus objetivos.