HomesecurityMicrosoft: Windows, Adobe zero-day exploits for Subzero development
security

Microsoft: Windows, Adobe zero-day exploits for Subzero development

SecNews
By SecNews

Η Microsoft έχει αποκαλύψει στοιχεία για την αυστριακή εταιρεία DSIRF που χρησιμοποιεί τα exploits zero-day για το Subzero malware.

Η Microsoft έχει συνδέσει μια ομάδα απειλών γνωστή ως Knotweed με έναν Αυστριακό προμηθευτή spyware που λειτουργεί επίσης ως μισθοφόρος στον κυβερνοχώρο με το όνομα DSIRF που στοχεύει οντότητες της Ευρώπης και της Κεντρικής Αμερικής χρησιμοποιώντας ένα σύνολο εργαλείων malware που ονομάζεται Subzero.

Στον ιστότοπό της, η DSIRF προβάλλει τον εαυτό της ως εταιρεία που παρέχει έρευνα πληροφοριών, εγκληματολογικές υπηρεσίες και υπηρεσίες πληροφοριών βάσει δεδομένων σε εταιρείες.

Ωστόσο, έχει συνδεθεί με την ανάπτυξη του malware Subzero που μπορούν να χρησιμοποιήσουν οι πελάτες της για να χακάρουν τηλέφωνα, υπολογιστές και συσκευές στόχων συνδεδεμένες στο δίκτυο και στο Διαδίκτυο.

SecNewsTV

SecNewsTV
Περισσότερα... Subscribe!

Read also: Robin Banks: new phishing service targets customers of major banks

Χρησιμοποιώντας παθητικά δεδομένα DNS κατά τη διερεύνηση επιθέσεων Knotweed, η εταιρεία πληροφοριών απειλών RiskIQ διαπίστωσε επίσης ότι η υποδομή που εξυπηρετεί ενεργά κακόβουλο λογισμικό από τον Φεβρουάριο του 2020 συνδέεται με την DSIRF, συμπεριλαμβανομένου του επίσημου ιστότοπού της και των domains που πιθανότατα χρησιμοποιούνται για τον εντοπισμό σφαλμάτων και τη διαμόρφωση του malware Subzero.

Microsoft: Windows, Adobe zero-day exploits for Subzero development
Microsoft: Windows, Adobe zero-day exploits for Subzero development

The Microsoft Threat Intelligence Center (MSTIC) έχει επίσης βρει πολλαπλούς δεσμούς μεταξύ DSIRF και κακόβουλων εργαλείων που χρησιμοποιούνται στις επιθέσεις του Knotweed.

«!– /wp:paragraph –>

Ορισμένες επιθέσεις Knotweed που παρατηρήθηκαν από τη Microsoft έχουν στοχεύσει δικηγορικά γραφεία, τράπεζες και στρατηγικούς συμβουλευτικούς οργανισμούς σε όλο τον κόσμο, συμπεριλαμβανομένης της Αυστρίας, του Ηνωμένου Βασιλείου και του Παναμά.

«Στο πλαίσιο της έρευνάς μας σχετικά με τη χρησιμότητα αυτού του malware, οι επικοινωνίες της Microsoft με ένα θύμα του Subzero αποκάλυψαν ότι δεν είχαν αναθέσει καμία δοκιμή κόκκινης ομάδας ή διείσδυσης και επιβεβαίωσαν ότι ήταν μη εξουσιοδοτημένη, κακόβουλη δραστηριότητα», πρόσθεσε η Microsoft.

«Τα θύματα που έχουν παρατηρηθεί μέχρι σήμερα περιλαμβάνουν δικηγορικά γραφεία, τράπεζες και στρατηγικούς συμβούλους σε χώρες όπως η Austria, το Ηνωμένο Βασίλειο και ο Παναμάς».

Σε παραβιασμένες συσκευές, οι εισβολείς ανέπτυξαν το Corelump, the κύριο payload που τρέχει από τη μνήμη για να αποφύγει τον εντοπισμό, και το Jumplump, έναν φορτωτή malware που κατεβάζει και φορτώνει το Corelump στη μνήμη.

Το κύριο payload Subzero έχει πολλές δυνατότητες, όπως καταγραφή πληκτρολογίου, λήψη στιγμιότυπων οθόνης, εξαγωγή δεδομένων και εκτέλεση απομακρυσμένων shells και αυθαίρετων προσθηκών που λαμβάνονται από τον server εντολών και ελέγχου του.

Σε συστήματα όπου το Knotweed αξιοποίησε το malware του, η Microsoft έχει παρατηρήσει μια ποικιλία ενεργειών μετά τον συμβιβασμό, όπως:

Microsoft: Windows, Adobe zero-day exploits for Subzero development
Microsoft: Windows, Adobe zero-day exploits for Subzero development
  • Setting of the UseLogonCredential σε “1” για να ενεργοποιηθούν τα plaintext credentials
  • Credential dumping μέσω του comsvcs.dll
  • Προσπάθεια να αποκτηθεί πρόσβαση σε email με διαπιστευτήρια από μια διεύθυνση IP KNOTWEED
  • Use of the Curl για λήψη εργαλείων KNOTWEED από δημόσια file shares, όπως το vultrobjects[.]com
  • Execution PowerShell scripts απευθείας από GitHub που δημιουργήθηκε από έναν λογαριασμό που σχετίζεται με την DSIRF

Μεταξύ των zero-day exploits που χρησιμοποιούνται στις καμπάνιες Knotweed, η Microsoft επισημαίνει το πρόσφατα διορθωμένο CVE-2022-22047, το οποίο βοήθησε τους εισβολείς να κλιμακώσουν τα προνόμια, να ξεφύγουν από τα sandbox και να κερδίσουν την εκτέλεση κώδικα σε επίπεδο συστήματος.

Πέρυσι, το Knotweed χρησιμοποίησε επίσης ένα exploit chain που αποτελείται από δύο εκμεταλλεύσεις κλιμάκωσης προνομίων των Windows (CVE-2021-31199 και CVE-2021-31201) σε συνδυασμό με ένα exploit του Adobe Reader (CVE-2021-28550), τα οποία ενημερώθηκαν τον Ιούνιο του 2021.

Το 2021, η ομάδα Knotweed συνδέθηκε επίσης με την εκμετάλλευση ενός τέταρτου zero-day, ενός ελαττώματος κλιμάκωσης των προνομίων των Windows στην υπηρεσία Windows Update Medic Service (CVE-2021-36948) που χρησιμοποιήθηκε για να εξαναγκάσει την υπηρεσία να φορτώσει ένα αυθαίρετο υπογεγραμμένο DLL.

Microsoft: Windows, Adobe zero-day exploits for Subzero development
Microsoft: Windows, Adobe zero-day exploits for Subzero development

Για την άμυνα έναντι τέτοιων επιθέσεων zero-day, η Microsoft συμβουλεύει τους πελάτες να:

  • Δώσουν προτεραιότητα στο patch του CVE-2022-22047.
  • Επιβεβαιώσουν ότι το Microsoft Defender Antivirus είναι ενημερωμένο στην έκδοση 1.371.503.0 ή μεταγενέστερη για να εντοπίσουν τις σχετικές ενδείξεις.
  • Χρησιμοποιήσουν τους δείκτες συμβιβασμού που περιλαμβάνονται για να διερευνήσουν εάν υπάρχουν στο περιβάλλον τους και να αξιολογήσουν για πιθανή εισβολή.
  • Αλλάξουν τις ρυθμίσεις ασφαλείας macro του Excel για να ελέγξουν ποια macro εκτελούνται και υπό ποιες συνθήκες όταν ανοίγουν ένα βιβλίο εργασίας. Οι πελάτες μπορούν επίσης να σταματήσουν τα κακόβουλα macro XLM ή VBA διασφαλίζοντας ότι είναι ενεργοποιημένη η σάρωση runtime macro μέσω του Antimalware Scan Interface (AMSI).
  • Ενεργοποιήσουν τον multi-factor authentication (MFA) για να μειώσουν τα διαπιστευτήρια που ενδέχεται να διακυβεύονται και να διασφαλίσουν ότι το MFA επιβάλλεται για όλες τις απομακρυσμένες συνδέσεις.
  • Ελέγξουν όλη τη δραστηριότητα ελέγχου ταυτότητας για την υποδομή απομακρυσμένης πρόσβασης, εστιάζοντας σε λογαριασμούς που έχουν διαμορφωθεί με έλεγχο ταυτότητας ενός παράγοντα, για να επιβεβαιώσουν την αυθεντικότητα και να διερευνήσουν τυχόν μη φυσιολογική δραστηριότητα.

See also: Play Store: Εφαρμογές με malware έχουν πάνω από 10 εκατομ. λήψεις

«Για να περιορίσουμε αυτές τις επιθέσεις, εκδώσαμε μια ενημέρωση λογισμικού για τον μετριασμό της χρήσης ευπαθειών και δημοσιευμένων υπογραφών malware που θα προστατεύουν τους πελάτες των Windows από εκμεταλλεύσεις που χρησιμοποιούσε το Knotweed για να βοηθήσει στην παράδοση του malware του», δήλωσε ο Cristin Goodwin, Γενικός Διευθυντής στη Μονάδα Ψηφιακής Ασφάλειας της Microsoft.

«Βλέπουμε όλο και περισσότερο τα PSOA να πωλούν τα εργαλεία τους σε αυταρχικές κυβερνήσεις που ενεργούν με ασυνέπεια με το κράτος δικαίου και τους κανόνες ανθρωπίνων δικαιωμάτων, όπου χρησιμοποιούνται για να στοχεύσουν υπερασπιστές των ανθρωπίνων δικαιωμάτων, δημοσιογράφους, διαφωνούντες και άλλους που εμπλέκονται στην κοινωνία», πρόσθεσε ο Goodwin.

Source: bleepingcomputer.com

Follow us on Google News and be the first to know all the news.

Previous article
NASA discovers hot pits on the Moon
Next article
Alexander Vinick - Developments: Exclusively Zoe Konstantopoulou
SecNews
SecNewshttps://secnews.gr
In a world without fences and walls, who need Gates and Windows

RELATED ARTICLES

spot_img

Subscribe to the Newsletter

* indicates required

FOLLOW US

LIVE NEWS

Load more

ABOUT US

SecNews.gr: No1 Portal for Technology News. Security, Hacking, TV and Tweaks for Geeks. Instant updates on all the developments in the field of security, TV, Hacks, TV and Geeks. Security and IT.

Contact: contact@secnews.gr

FOLLOW US

SecNews - Copyright © 2010 - 2024