ΑρχικήsecurityMicrosoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero

Microsoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero

Η Microsoft έχει αποκαλύψει στοιχεία για την αυστριακή εταιρεία DSIRF που χρησιμοποιεί τα exploits zero-day για το Subzero malware.

Η Microsoft έχει συνδέσει μια ομάδα απειλών γνωστή ως Knotweed με έναν Αυστριακό προμηθευτή spyware που λειτουργεί επίσης ως μισθοφόρος στον κυβερνοχώρο με το όνομα DSIRF που στοχεύει οντότητες της Ευρώπης και της Κεντρικής Αμερικής χρησιμοποιώντας ένα σύνολο εργαλείων malware που ονομάζεται Subzero.

Στον ιστότοπό της, η DSIRF προβάλλει τον εαυτό της ως εταιρεία που παρέχει έρευνα πληροφοριών, εγκληματολογικές υπηρεσίες και υπηρεσίες πληροφοριών βάσει δεδομένων σε εταιρείες.

Ωστόσο, έχει συνδεθεί με την ανάπτυξη του malware Subzero που μπορούν να χρησιμοποιήσουν οι πελάτες της για να χακάρουν τηλέφωνα, υπολογιστές και συσκευές στόχων συνδεδεμένες στο δίκτυο και στο Διαδίκτυο.

Διαβάστε επίσης: Robin Banks: Νέα phishing υπηρεσία στοχεύει πελάτες μεγάλων τραπεζών

Χρησιμοποιώντας παθητικά δεδομένα DNS κατά τη διερεύνηση επιθέσεων Knotweed, η εταιρεία πληροφοριών απειλών RiskIQ διαπίστωσε επίσης ότι η υποδομή που εξυπηρετεί ενεργά κακόβουλο λογισμικό από τον Φεβρουάριο του 2020 συνδέεται με την DSIRF, συμπεριλαμβανομένου του επίσημου ιστότοπού της και των domains που πιθανότατα χρησιμοποιούνται για τον εντοπισμό σφαλμάτων και τη διαμόρφωση του malware Subzero.

Microsoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero
Microsoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero

Το Microsoft Threat Intelligence Center (MSTIC) έχει επίσης βρει πολλαπλούς δεσμούς μεταξύ DSIRF και κακόβουλων εργαλείων που χρησιμοποιούνται στις επιθέσεις του Knotweed.

«!– /wp:paragraph –>

Ορισμένες επιθέσεις Knotweed που παρατηρήθηκαν από τη Microsoft έχουν στοχεύσει δικηγορικά γραφεία, τράπεζες και στρατηγικούς συμβουλευτικούς οργανισμούς σε όλο τον κόσμο, συμπεριλαμβανομένης της Αυστρίας, του Ηνωμένου Βασιλείου και του Παναμά.

«Στο πλαίσιο της έρευνάς μας σχετικά με τη χρησιμότητα αυτού του malware, οι επικοινωνίες της Microsoft με ένα θύμα του Subzero αποκάλυψαν ότι δεν είχαν αναθέσει καμία δοκιμή κόκκινης ομάδας ή διείσδυσης και επιβεβαίωσαν ότι ήταν μη εξουσιοδοτημένη, κακόβουλη δραστηριότητα», πρόσθεσε η Microsoft.

«Τα θύματα που έχουν παρατηρηθεί μέχρι σήμερα περιλαμβάνουν δικηγορικά γραφεία, τράπεζες και στρατηγικούς συμβούλους σε χώρες όπως η Αυστρία, το Ηνωμένο Βασίλειο και ο Παναμάς».

Σε παραβιασμένες συσκευές, οι εισβολείς ανέπτυξαν το Corelump, το κύριο payload που τρέχει από τη μνήμη για να αποφύγει τον εντοπισμό, και το Jumplump, έναν φορτωτή malware που κατεβάζει και φορτώνει το Corelump στη μνήμη.

Το κύριο payload Subzero έχει πολλές δυνατότητες, όπως καταγραφή πληκτρολογίου, λήψη στιγμιότυπων οθόνης, εξαγωγή δεδομένων και εκτέλεση απομακρυσμένων shells και αυθαίρετων προσθηκών που λαμβάνονται από τον server εντολών και ελέγχου του.

Σε συστήματα όπου το Knotweed αξιοποίησε το malware του, η Microsoft έχει παρατηρήσει μια ποικιλία ενεργειών μετά τον συμβιβασμό, όπως:

Microsoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero
Microsoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero
  • Ρύθμιση του UseLogonCredential σε “1” για να ενεργοποιηθούν τα plaintext credentials
  • Credential dumping μέσω του comsvcs.dll
  • Προσπάθεια να αποκτηθεί πρόσβαση σε email με διαπιστευτήρια από μια διεύθυνση IP KNOTWEED
  • Χρήση του Curl για λήψη εργαλείων KNOTWEED από δημόσια file shares, όπως το vultrobjects[.]com
  • Εκτέλεση PowerShell scripts απευθείας από GitHub που δημιουργήθηκε από έναν λογαριασμό που σχετίζεται με την DSIRF

Μεταξύ των zero-day exploits που χρησιμοποιούνται στις καμπάνιες Knotweed, η Microsoft επισημαίνει το πρόσφατα διορθωμένο CVE-2022-22047, το οποίο βοήθησε τους εισβολείς να κλιμακώσουν τα προνόμια, να ξεφύγουν από τα sandbox και να κερδίσουν την εκτέλεση κώδικα σε επίπεδο συστήματος.

Πέρυσι, το Knotweed χρησιμοποίησε επίσης ένα exploit chain που αποτελείται από δύο εκμεταλλεύσεις κλιμάκωσης προνομίων των Windows (CVE-2021-31199 και CVE-2021-31201) σε συνδυασμό με ένα exploit του Adobe Reader (CVE-2021-28550), τα οποία ενημερώθηκαν τον Ιούνιο του 2021.

Το 2021, η ομάδα Knotweed συνδέθηκε επίσης με την εκμετάλλευση ενός τέταρτου zero-day, ενός ελαττώματος κλιμάκωσης των προνομίων των Windows στην υπηρεσία Windows Update Medic Service (CVE-2021-36948) που χρησιμοποιήθηκε για να εξαναγκάσει την υπηρεσία να φορτώσει ένα αυθαίρετο υπογεγραμμένο DLL.

Microsoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero
Microsoft: Windows, Adobe zero-day exploits για ανάπτυξη του Subzero

Για την άμυνα έναντι τέτοιων επιθέσεων zero-day, η Microsoft συμβουλεύει τους πελάτες να:

  • Δώσουν προτεραιότητα στο patch του CVE-2022-22047.
  • Επιβεβαιώσουν ότι το Microsoft Defender Antivirus είναι ενημερωμένο στην έκδοση 1.371.503.0 ή μεταγενέστερη για να εντοπίσουν τις σχετικές ενδείξεις.
  • Χρησιμοποιήσουν τους δείκτες συμβιβασμού που περιλαμβάνονται για να διερευνήσουν εάν υπάρχουν στο περιβάλλον τους και να αξιολογήσουν για πιθανή εισβολή.
  • Αλλάξουν τις ρυθμίσεις ασφαλείας macro του Excel για να ελέγξουν ποια macro εκτελούνται και υπό ποιες συνθήκες όταν ανοίγουν ένα βιβλίο εργασίας. Οι πελάτες μπορούν επίσης να σταματήσουν τα κακόβουλα macro XLM ή VBA διασφαλίζοντας ότι είναι ενεργοποιημένη η σάρωση runtime macro μέσω του Antimalware Scan Interface (AMSI).
  • Ενεργοποιήσουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για να μειώσουν τα διαπιστευτήρια που ενδέχεται να διακυβεύονται και να διασφαλίσουν ότι το MFA επιβάλλεται για όλες τις απομακρυσμένες συνδέσεις.
  • Ελέγξουν όλη τη δραστηριότητα ελέγχου ταυτότητας για την υποδομή απομακρυσμένης πρόσβασης, εστιάζοντας σε λογαριασμούς που έχουν διαμορφωθεί με έλεγχο ταυτότητας ενός παράγοντα, για να επιβεβαιώσουν την αυθεντικότητα και να διερευνήσουν τυχόν μη φυσιολογική δραστηριότητα.

Δείτε επίσης: Play Store: Εφαρμογές με malware έχουν πάνω από 10 εκατομ. λήψεις

«Για να περιορίσουμε αυτές τις επιθέσεις, εκδώσαμε μια ενημέρωση λογισμικού για τον μετριασμό της χρήσης ευπαθειών και δημοσιευμένων υπογραφών malware που θα προστατεύουν τους πελάτες των Windows από εκμεταλλεύσεις που χρησιμοποιούσε το Knotweed για να βοηθήσει στην παράδοση του malware του», δήλωσε ο Cristin Goodwin, Γενικός Διευθυντής στη Μονάδα Ψηφιακής Ασφάλειας της Microsoft.

«Βλέπουμε όλο και περισσότερο τα PSOA να πωλούν τα εργαλεία τους σε αυταρχικές κυβερνήσεις που ενεργούν με ασυνέπεια με το κράτος δικαίου και τους κανόνες ανθρωπίνων δικαιωμάτων, όπου χρησιμοποιούνται για να στοχεύσουν υπερασπιστές των ανθρωπίνων δικαιωμάτων, δημοσιογράφους, διαφωνούντες και άλλους που εμπλέκονται στην κοινωνία», πρόσθεσε ο Goodwin.

Πηγή: bleepingcomputer.com

SecNews
SecNewshttps://secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS