一场复杂的网络间谍活动利用了恶意的微软管理控制台（MMC）脚本来部署隐秘的 MysterySnail 远程访问木马（RAT）。

MysterySnail 远程访问木马最早于 2021 年在对 CVE-2021-40449 零日漏洞的调查中被发现，此后它似乎从网络威胁领域中消失了。

该恶意软件被认为出自一个名为 IronHusky的威胁行为者之手，至少从 2017 年起这个组织就开始活跃了。显然，多年来这种恶意软件一直处于活跃状态，只是未被发现。

卡巴斯基表示：“事实证明，尽管此前没有相关报告，但这些年来这种植入程序一直在网络攻击中被频繁使用。”

复杂的感染链条

攻击始于一个伪装成 ALAMGAC 文件的恶意 MMC 脚本。这种社会工程策略增加了政府目标打开这个伪装文件的可能性。

一旦脚本被执行，就会启动一个多阶段的感染过程。首先，它会从 file [.] io 存储中获取一个 ZIP 压缩包，其中包含第二阶段的有效载荷和一个合法的 DOCX 文件。

该压缩包会被解压到特定目录：% AppData%\Cisco\Plugins\X86\bin\etc\Update

一个合法的可执行文件（CiscoCollabHost.exe）会被启动，它通过 DLL 侧加载技术加载一个恶意库（CiscoSparkLauncher.dll）。

此外，攻击者会通过修改注册表来实现持久驻留，同时诱饵文件会打开以避免引起怀疑。

研究人员发现了一种创新的中间后门程序，它通过滥用开源的管道服务器项目与命令和控制（C2）服务器进行通信。

作为一种不同寻常的反分析技术，这个后门程序将 Windows API 函数信息存储在一个外部文件（log\MYFC.log）中，该文件使用单字节异或（XOR）加密，并在运行时加载。

这个后门程序会与 https://ppng.io 通信以接收以下命令：

1.RCOMM：运行命令shell。

2.FSEND：从 C2 服务器下载文件。

3.FRECV：将文件上传到 C2 服务器。

4.FEXEC：创建新进程。

5.FDELE：删除文件。

进化后的 MysterySnail 远程访问木马

最新版本的 MysterySnail 作为一项服务保持持久驻留，并使用了复杂的加密技术。其恶意 DLL 会从一个名为 attach.dat 的文件中加载用 RC4 和异或（XOR）加密的有效载荷，并通过使用 run_pe 库的 DLL 空洞化技术来实现反射式加载。

研究人员观察到，它会与多个由攻击者控制的域名进行通信，包括 watch-smcsvc [.] com 和 leotolstoys [.] com。

与 2021 年的版本不同，当时的版本在单个组件中实现了大约 40 个命令，而新的 MysterySnail 采用了模块化架构，在运行时会下载五个专门的 DLL：

1.BasicMod.dll：处理磁盘驱动器列表、文件删除和系统指纹识别。

2.ExplorerMoudleDll.dll：管理文件读取、服务管理和进程创建。

3.process.dll：列出并终止正在运行的进程。

4.cmd.dll：创建进程和命令shell。

5.tcptran.dll：管理网络连接。

研究人员还发现了一个名为 MysteryMonoSnail的轻量级变种，它通过 WebSocket 协议而非 HTTP 进行通信，功能较少，仅提供 13 个基本命令。

MysterySnail 的再次出现凸显了对潜在威胁保持警惕的重要性。

研究人员警告称：“在进行威胁搜寻活动时，至关重要的是要考虑到那些多年来未被报道的旧恶意软件家族，它们可能仍在暗中继续活动。”

MysterySnail 的案例表明，威胁行为者如何通过对现有恶意软件进行最小限度的修改来保持其操作的持续性，从而使其在很长一段时间内不被发现。