Один клик — и улитка внутри: как MysterySnail берёт госсистемы под контроль
Кибератаки затронули учреждения в России и Монголии — троянец маскируется под официальный документ.
Российские и монгольские государственные организации стали целями новой волны кибератак с использованием обновлённой версии троянца удалённого доступа MysterySnail. Об этом рассказали специалисты «Лаборатории Касперского».
По данным исследователей, вредонос MysterySnail уже использовался в 2021 году в атаках, связанных с деятельностью кибергруппы IronHusky. В текущей кампании злоумышленники применяют последнюю версию модульного троянца, адаптированного для новых целей и методов доставки.
Заражение начинается с запуска вредоносного скрипта, замаскированного под документ от официальной монгольской структуры — Национального агентства земельных ресурсов (ALAMGAC). Скрипт предназначен для запуска через консоль управления Microsoft, стандартный компонент Windows, который используется администраторами для настройки и мониторинга систем. При открытии файла происходит загрузка дополнительных вредоносных компонентов, включая библиотеку CiscoSparkLauncher.dll.
Именно эта библиотека выполняет роль бэкдора, загружая и активируя основной троянец MysterySnail. После установки вредонос подключается к управляющим серверам, созданным атакующими, с использованием протокола HTTP.
Анализ показал, что данная версия MysterySnail способна выполнять порядка 40 различных команд. Среди них — работа с файлами (создание, чтение, удаление), управление процессами, получение списка каталогов и накопителей, а также открытие прокси-канала для пересылки данных. Зловред также может незаметно отслеживать подключения внешних накопителей в фоновом режиме.
Позже атакующие задействовали ещё одну модификацию вредоносного ПО — облегчённую версию, получившую название MysteryMonoSnail. Этот вариант состоит из одного компонента и использует для связи с командно-контрольным сервером протокол WebSocket, а не HTTP, как в основной версии. Несмотря на меньший функционал — всего 13 базовых команд — угрозу от MysteryMonoSnail специалисты не считают незначительной.
В компании напоминают, что кибергруппа IronHusky действует как минимум с 2012 года и неоднократно применяла MysterySnail в кибершпионских атаках против IT-компаний и дипломатических организаций.