Forscher des Sicherheitsunternehmens Kaspersky haben eine wohl aus China stammende Malware entdeckt, mit der aktuell Angriffe auf Windows-Server (alle Versionen ab Windows Server 2008 bzw. Windows 7) durchgeführt werden. Der "MysterySnail" genannte Trojaner nutzt eine Schwachstelle im Kernel des Systems (CVE-2021-40449) aus, die mit einer durchaus hohen Gefährlichkeit von 7,8 im CVSS-Scoring eingestuft wird.

Das Leck lässt sich durch das gezielte zweimalige Ausführen einer Funktion nutzen, was am Ende der Fehlerkette einem Angreifer ermöglicht, Kernelspeicher zu lesen und in diesen zu schreiben. Die Ausnutzung gestaltet sich verhältnismäßig einfach und kann für weitreichende Attacken genutzt werden, berichtet Threatpost.

Chinesische Hackergruppe unter Verdacht

Im Fall von MysterySnail ist das Ziel, eine aus der Ferne kontrollierbare Shell (Kommandozeile) einzuschleusen, mit der die Angreifer fortan das System kontrollieren und auch zahlreiche Daten abgreifen können. Sie beherrscht rund 20 Befehle bzw. Funktionen und verfügt auch über Mechanismen, die die Aufdeckung und Analyse der Malware verhindern sollen.

Die Malware ist in Mandarin gehalten und nutzt auch die Infrastruktur, die schon lange der chinesischen Gruppe IronHusky zugerechnet wird. Deren Aktivitäten wurden erstmals 2017 erkannt und reichen wohl bis 2012 zurück, sie setzt häufig auf "Remote Access Trojans", wie auch MysterySnail einer ist. Angegriffen werden vorwiegend Ziele in Zentralasien, insbesondere die mongolische Regierung. Zuvor versuchte man auch, Zulieferer des russischen Militärs auszuspionieren, stellte diese Operationen aber Anfang 2018 ein.

Für "normale" Nutzer dürfte die Bedrohungslage nicht groß sein. Die aktuellen Attacken seien umfangreich, aber auch gezielt, heißt es. Varianten von MysterySnail konnten bei Angriffen auf IT-Firmen, Militärzulieferer und diplomatische Vertretungen entdeckt werden. Microsoft hat das Leck kürzlich mit einem Update behoben, insbesondere Admins von betroffenen Windows-Servern sollten dieses, wenn noch nicht geschehen, schnell einspielen. (red, 13.10.2021)