Малварь Subzero использовала уязвимости нулевого дня в Windows и Adobe - «Новости»

  • 10:30, 28-июл-2022
  • Изображения / Новости / Отступы и поля / Преимущества стилей / Сайтостроение / Текст
  • Finch
  • 0

Компания Microsoft связала хак-группу Knotweed с австрийским поставщиком шпионского ПО,  компанией DSIRF, также зачастую выступающей в роли кибернаемника. Исследователи установили, что Knotweed  атакует европейские и центральноамериканские организации с помощью вредоносного инструментария Subzero.


На официальном сайте DSIRF рекламирует себя как компанию, которая занимается аналитикой, киберкриминалистикой, а также разведкой, связанной с данными. Однако Microsoft связывает эту компанию с малварью Subzero, которую клиенты DSIRF могут использовать для взлома интересующих их телефонов, компьютеров, сетевых устройств и так далее.


Ранее, изучая атаки Knotweed, ИБ-компания RiskIQ тоже обнаружила, что инфраструктура, обслуживающая вредоносное ПО с февраля 2020 года, может быть связана с DSIRF, включая официальный сайт и домены компании, которые, вероятно, использовались для отладки и подготовки Subzero к работе.


Теперь же аналитики Microsoft Threat Intelligence Center (MSTIC) пишут о множественных связях между DSIRF и вредоносными инструментами, которые используются в атаках Knotweed. В частности, речь идет о C&C-инфраструктуре, используемой малварью; связанной с DSIRF учетной записи GitHub, которая использовалась в одной из атак; сертификате подписи кода, который был выдан DSIRF и применялся для подписи эксплоита; и других сообщениях, которые напрямую связывали Subzero с DSIRF.


Некоторые атаки Knotweed, изученные Microsoft, были нацелены на юридические фирмы, банки и консалтинговые организации по всему миру, включая Австрию, Великобританию и Панаму.


«В рамках исследования этого вредоносного ПО и общения Microsoft с пострадавшими от Subzero выяснилось, что жертвы не заказывали пентестинг или редтиминг, а это подтверждает, что это была несанкционированная и вредоносная деятельность», — пишут эксперты Microsoft.


На скомпрометированных устройствах злоумышленники разворачивали Corelump, основную полезную нагрузку, которая запускалась из памяти, чтобы избежать обнаружения, а также Jumplump, сильно обфусцированный загрузчик, который скачивал и загружал Corelump в память.


Основной пейлоад Subzero обладает множество возможностей, включая перехват нажатий клавиш, захват экрана, хищение данных, а также запуск удаленных шеллов и произвольных плагинов, загруженных с управляющего сервера.


Во взломанных системах, где Knotweed разворачивала свою малварь, Microsoft наблюдала различные последствия взлома, в том числе:



  • установку UseLogonCredential в значение «1», чтобы включить учетные данные в формате простого текста;

  • сбор учетных данных посредством comsvcs.dll;

  • попытку доступа к электронным письмам с дампом учетных данных с IP-адреса Knotweed;

  • использование Curl для загрузки инструментов Knotweed с общедоступных файловых ресурсов, включая vultrobjects[.]com;

  • запуск скриптов PowerShell непосредственно с GitHub и учетной записи, связанной с DSIRF.


Среди 0-day уязвимостей, которые применяла в своих кампаниях Knotweed, Microsoft выделяет недавно исправленную проблему CVE-2022-22047, которая помогла злоумышленникам повысить привилегии, покинуть песочницу и добиться выполнения кода на уровне системы.


Кроме того, в прошлом году Knotweed использовала цепочку эксплоитов, состоящую из двух уязвимостей повышения привилегий в Windows (CVE-2021-31199 и CVE-2021-31201) в сочетании с эксплоитом  для уязвимости в Adobe Reader (CVE-2021-28550). Все эти баги были исправлены в июне 2021 года.


Также в 2021 году группировку связывали с эксплуатацией четвертой уязвимости нулевого дня нулевого дня —  повышения привилегий в Windows Update Medic Service (CVE-2021-36948). Этот баг использовался принудительной загрузки произвольного подписанного DLL.


«Чтобы ограничить эти атаки, мы выпустили обновление, которое призвано уменьшить эксплуатацию уязвимостей, а также опубликовали сигнатуры вредоносных программ, что защитит пользователей Windows от эксплоитов Knotweed, применяющихся для доставки вредоносного ПО, — пишут представители Microsoft. — Мы все чаще наблюдаем, как компании частного сектора, занимающиеся наступательной безопасностью, продают свои инструменты авторитарным режимам, которые действуют вразрез с буквой закона и нормами прав человека, и применяют их для атак на правозащитников, журналистов, диссидентов и других представителей гражданского общества».


Компания Microsoft связала хак-группу Knotweed с австрийским поставщиком шпионского ПО, компанией DSIRF, также зачастую выступающей в роли кибернаемника. Исследователи установили, что Knotweed атакует европейские и центральноамериканские организации с помощью вредоносного инструментария Subzero. На официальном сайте DSIRF рекламирует себя как компанию, которая занимается аналитикой, киберкриминалистикой, а также разведкой, связанной с данными. Однако Microsoft связывает эту компанию с малварью Subzero, которую клиенты DSIRF могут использовать для взлома интересующих их телефонов, компьютеров, сетевых устройств и так далее. Ранее, изучая атаки Knotweed, ИБ-компания RiskIQ тоже обнаружила, что инфраструктура, обслуживающая вредоносное ПО с февраля 2020 года, может быть связана с DSIRF, включая официальный сайт и домены компании, которые, вероятно, использовались для отладки и подготовки Subzero к работе. Теперь же аналитики Microsoft Threat Intelligence Center (MSTIC) пишут о множественных связях между DSIRF и вредоносными инструментами, которые используются в атаках Knotweed. В частности, речь идет о C

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!