Säkerhetsforskare vid Kaspersky rapporterar, att en zero day-sårbarhet som Microsoft patchade i tisdags ska ha använts av den kinesiska hackergruppen Ironhusky sedan augusti. Det skriver ComputerSweden i sitt senaste nummer.
Gruppen har varit aktiv sedan 2012 och genomfört cyberspionage sedan 2017. I den senaste kampanjen har de gett sig på IT-företag, leverantörer till försvarsmakten och diplomater genom att utnyttja den tidigare okända sårbarheten (CVE-2021-4044) i Windows Graphics Device Interface (GDI).
Sårbarheten påverkar samtliga versioner av Windows sedan Vista och gör att kod kan köras med systemprivilegier. Kaspersky ska dock bara sett den köras på Windows-servrar.
Hackarna använde systemprivilegierna, för att köra en remote shell Trojan (RAT) som Kaspersky gett namnet MysterySnail. Skadeprogrammet kan användas, för att köra Windows shell-kommandon och samla in information om diskar och mappar samt läsa, ladda upp och radera filer, stänga av processer mm.
