Основы Интернет - технологий.

Компания Microsoft связала хак-группу Knotweed с австрийским поставщиком шпионского ПО,  компанией DSIRF, также зачастую выступающей в роли кибернаемника. Исследователи установили, что Knotweed  атакует европейские и центральноамериканские организации с помощью вредоносного инструментария Subzero.

На официальном сайте DSIRF рекламирует себя как компанию, которая занимается аналитикой, киберкриминалистикой, а также разведкой, связанной с данными. Однако Microsoft связывает эту компанию с малварью Subzero, которую клиенты DSIRF могут использовать для взлома интересующих их телефонов, компьютеров, сетевых устройств и так далее.

Ранее, изучая атаки Knotweed, ИБ-компания RiskIQ тоже обнаружила, что инфраструктура, обслуживающая вредоносное ПО с февраля 2020 года, может быть связана с DSIRF, включая официальный сайт и домены компании, которые, вероятно, использовались для отладки и подготовки Subzero к работе.

Теперь же аналитики Microsoft Threat Intelligence Center (MSTIC) пишут о множественных связях между DSIRF и вредоносными инструментами, которые используются в атаках Knotweed. В частности, речь идет о C&C-инфраструктуре, используемой малварью; связанной с DSIRF учетной записи GitHub, которая использовалась в одной из атак; сертификате подписи кода, который был выдан DSIRF и применялся для подписи эксплоита; и других сообщениях, которые напрямую связывали Subzero с DSIRF.

Некоторые атаки Knotweed, изученные Microsoft, были нацелены на юридические фирмы, банки и консалтинговые организации по всему миру, включая Австрию, Великобританию и Панаму.

На скомпрометированных устройствах злоумышленники разворачивали Corelump, основную полезную нагрузку, которая запускалась из памяти, чтобы избежать обнаружения, а также Jumplump, сильно обфусцированный загрузчик, который скачивал и загружал Corelump в память.

Основной пейлоад Subzero обладает множество возможностей, включая перехват нажатий клавиш, захват экрана, хищение данных, а также запуск удаленных шеллов и произвольных плагинов, загруженных с управляющего сервера.

Во взломанных системах, где Knotweed разворачивала свою малварь, Microsoft наблюдала различные последствия взлома, в том числе:

• установку UseLogonCredential в значение «1», чтобы включить учетные данные в формате простого текста;


• сбор учетных данных посредством comsvcs.dll;


• попытку доступа к электронным письмам с дампом учетных данных с IP-адреса Knotweed;


• использование Curl для загрузки инструментов Knotweed с общедоступных файловых ресурсов, включая vultrobjects[.]com;


• запуск скриптов PowerShell непосредственно с GitHub и учетной записи, связанной с DSIRF.

Среди 0-day уязвимостей, которые применяла в своих кампаниях Knotweed, Microsoft выделяет недавно исправленную проблему CVE-2022-22047, которая помогла злоумышленникам повысить привилегии, покинуть песочницу и добиться выполнения кода на уровне системы.

Кроме того, в прошлом году Knotweed использовала цепочку эксплоитов, состоящую из двух уязвимостей повышения привилегий в Windows (CVE-2021-31199 и CVE-2021-31201) в сочетании с эксплоитом  для уязвимости в Adobe Reader (CVE-2021-28550). Все эти баги были исправлены в июне 2021 года.

Также в 2021 году группировку связывали с эксплуатацией четвертой уязвимости нулевого дня нулевого дня —  повышения привилегий в Windows Update Medic Service (CVE-2021-36948). Этот баг использовался принудительной загрузки произвольного подписанного DLL.