Специалисты «Лаборатории Касперского» зафиксировали новую волну атак на государственные организации в России и Монголии с использованием трояна удаленного доступа MysterySnail. Впервые эта малварь была обнаружена еще в 2021 году и применялась в атаках, за которыми стояла хак-группа IronHusky. Однако после этого никаких публичных отчетов по теме не выходило, и дальнейшая судьба этой малвари оставалась неизвестной.
«Кибергруппа IronHusky действует как минимум с 2012 года. Один из ее инструментов — троянец удаленного доступа MysterySnail, который обеспечивает злоумышленникам доступ в систему жертвы. Ранее атакующие уже использовали его в масштабных кампаниях кибершпионажа против ИТ-компаний, а также дипломатических организаций», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.
Исследователи рассказали, что теперь атакующие проникают в систему, используя вредоносный скрипт для консоли управления Microsoft. Скрипт распространяется под видом документа от Национального земельного агентства Монголии (ALAMGAC).
Если пользователь откроет файл, загружаются и начинают работать другие вредоносные файлы, в том числе библиотека CiscoSparkLauncher.dll. Она представляет собой промежуточный бэкдор, который загружает и запускает трояна MysterySnail. После этого малварь взаимодействует с серверами атакующих через протокол HTTP.
Последняя версия модульного трояна MysterySnail, применявшаяся в этих атаках, способна выполнять около 40 команд: создавать, читать и удалять файлы, создавать и завершать процессы, выполнять команды через оболочку cmd.exe, скачивать список каталогов, открывать прокси-канал и пересылать через него данные. Также вредонос умеет просматривать список подключенных накопителей и в фоновом режиме отслеживать сам момент подключения.
Также отмечается, что в продолжение кампании злоумышленники стали использовать облегченную версию MysterySnail. Она содержит лишь один компонент, поэтому эксперты назвали ее MysteryMonoSnail.
Эта версия малвари взаимодействует с тем же управляющим сервером, что и основная, хотя и по другому протоколу — WebSocket, а не HTTP. У MysteryMonoSnail не так много возможностей, как у MysterySnail: облегченная версия выполняет только 13 базовых команд. Тем не менее, эксперты предупредили, что ее тоже нельзя недооценивать.
