A Microsoft foi informada de que o grupo de hackers Knotweed está ligado ao fornecedor austríaco de spyware DSIRF, que muitas vezes também atua como um mercenário cibernético. Os pesquisadores determinaram que Knotweed está atacando organizações europeias e centro-americanas usando o kit de ferramentas de malware Subzero.
Deixe-me lembrá-lo de que também escrevemos isso Especialistas vinculados Gato preto (ALPHV) ransomware para Matéria Negra e Lado escuro grupos, e também isso Corpo do Mal Ransomware se passando por Bin de carga útil Grupo para evitar sanções dos EUA.
No oficial local na rede Internet, DSIRF se anuncia como uma empresa envolvida em análises, perícia cibernética, e inteligência relacionada a dados. No entanto, Microsoft associa esta empresa ao Abaixo de zero malware, quais clientes DSIRF podem usar para hackear seus telefones, computadores, dispositivos de rede, e assim por diante.
Mais cedo, enquanto estudava o Knotweed ataques, a empresa de segurança da informação QI de risco também descobriu que a infraestrutura que atende malware desde fevereiro 2020 pode estar associado ao DSIRF, incluindo o site oficial e domínios da empresa, que provavelmente foram usados para depurar e preparar o Subzero para o trabalho.
Agora, Centro de Inteligência de Ameaças da Microsoft (MSTIC) analistas estão escrevendo sobre vários links entre o DSIRF e as ferramentas maliciosas usado em ataques Knotweed. Em particular, estamos falando do C&Infraestrutura C usada por malware; um vinculado ao DSIRF GitHub conta que foi usada em um dos ataques; um certificado de assinatura de código emitido pela DSIRF e usado para assinar a exploração; e outras postagens que vinculavam o Subzero diretamente ao DSIRF.
A Microsoft estudou alguns dos ataques Knotweed e descobriu que eles tinham como alvo escritórios de advocacia, bancos, e organizações de consultoria em todo o mundo, incluindo a Áustria, o Reino Unido, e Panamá.
Em dispositivos comprometidos, os atacantes implantados Corelump, a carga útil principal que foi executada na memória para evitar a detecção, assim como Pular caroço, um carregador fortemente ofuscado que baixou e carregou o Corelump na memória.
A carga útil principal do Subzero tem muitos recursos, incluindo interceptação de teclas, captura de tela, roubo de dados, bem como lançar shells remotos e plugins arbitrários baixados do servidor de controle.
Em sistemas comprometidos onde o Knotweed implantou seu malware, A Microsoft observou várias consequências da violação, Incluindo:
- definindo UseLogonCredential como “1” para ativar credenciais de texto simples;
- coleta de credenciais por meio de comsvcs.dll;
- tentando acessar e-mails com um despejo de credenciais de um endereço IP Knotweed;
- usando Curl para baixar ferramentas Knotweed de compartilhamentos de arquivos, incluindo vultroobjetos[.]com;
- executando scripts do PowerShell diretamente do GitHub e uma conta associada ao DSIRF.
Entre o 0-dia vulnerabilidades que Knotweed usou em suas campanhas, Microsoft destaca o problema recentemente corrigido CVE-2022-22047, que ajudou os invasores a elevar privilégios, saia da sandbox e obtenha execução de código em nível de sistema.
Além disso, no ano passado, Knotweed usou uma cadeia de exploração que consiste em duas vulnerabilidades de escalonamento de privilégios do Windows (CVE-2021-31199 e CVE-2021-31201) em combinação com uma exploração de um Adobe Vulnerabilidade do leitor (CVE-2021-28550). Todos esses bugs foram corrigidos em junho 2021.
Também em 2021, o grupo foi associado à exploração da quarta vulnerabilidade de dia 0 que era o escalonamento de privilégios no Windows Update Medic Service (CVE-2021-36948). Este bug foi usado para forçar o carregamento de uma DLL assinada arbitrariamente.