• Партнер

  • Компания Microsoft связала хак-группу Knotweed с австрийским поставщиком шпионского ПО,  компанией DSIRF, также зачастую выступающей в роли кибернаемника. Исследователи установили, что Knotweed  атакует европейские и центральноамериканские организации с помощью вредоносного инструментария Subzero.

    На официальном сайте DSIRF рекламирует себя как компанию, которая занимается аналитикой, киберкриминалистикой, а также разведкой, связанной с данными. Однако Microsoft связывает эту компанию с малварью Subzero, которую клиенты DSIRF могут использовать для взлома интересующих их телефонов, компьютеров, сетевых устройств и так далее.

    Ранее, изучая атаки Knotweed, ИБ-компания RiskIQ тоже обнаружила, что инфраструктура, обслуживающая вредоносное ПО с февраля 2020 года, может быть связана с DSIRF, включая официальный сайт и домены компании, которые, вероятно, использовались для отладки и подготовки Subzero к работе.

    Теперь же аналитики Microsoft Threat Intelligence Center (MSTIC) пишут о множественных связях между DSIRF и вредоносными инструментами, которые используются в атаках Knotweed. В частности, речь идет о C&C-инфраструктуре, используемой малварью; связанной с DSIRF учетной записи GitHub, которая использовалась в одной из атак; сертификате подписи кода, который был выдан DSIRF и применялся для подписи эксплоита; и других сообщениях, которые напрямую связывали Subzero с DSIRF.

    Некоторые атаки Knotweed, изученные Microsoft, были нацелены на юридические фирмы, банки и консалтинговые организации по всему миру, включая Австрию, Великобританию и Панаму.

    «В рамках исследования этого вредоносного ПО и общения Microsoft с пострадавшими от Subzero выяснилось, что жертвы не заказывали пентестинг или редтиминг, а это подтверждает, что это была несанкционированная и вредоносная деятельность», — пишут эксперты Microsoft.

    На скомпрометированных устройствах злоумышленники разворачивали Corelump, основную полезную нагрузку, которая запускалась из памяти, чтобы избежать обнаружения, а также Jumplump, сильно обфусцированный загрузчик, который скачивал и загружал Corelump в память.

    Основной пейлоад Subzero обладает множество возможностей, включая перехват нажатий клавиш, захват экрана, хищение данных, а также запуск удаленных шеллов и произвольных плагинов, загруженных с управляющего сервера.

    Во взломанных системах, где Knotweed разворачивала свою малварь, Microsoft наблюдала различные последствия взлома, в том числе:

    • установку UseLogonCredential в значение «1», чтобы включить учетные данные в формате простого текста;
    • сбор учетных данных посредством comsvcs.dll;
    • попытку доступа к электронным письмам с дампом учетных данных с IP-адреса Knotweed;
    • использование Curl для загрузки инструментов Knotweed с общедоступных файловых ресурсов, включая vultrobjects[.]com;
    • запуск скриптов PowerShell непосредственно с GitHub и учетной записи, связанной с DSIRF.

    Среди 0-day уязвимостей, которые применяла в своих кампаниях Knotweed, Microsoft выделяет недавно исправленную проблему CVE-2022-22047, которая помогла злоумышленникам повысить привилегии, покинуть песочницу и добиться выполнения кода на уровне системы.

    Кроме того, в прошлом году Knotweed использовала цепочку эксплоитов, состоящую из двух уязвимостей повышения привилегий в Windows (CVE-2021-31199 и CVE-2021-31201) в сочетании с эксплоитом  для уязвимости в Adobe Reader (CVE-2021-28550). Все эти баги были исправлены в июне 2021 года.

    Также в 2021 году группировку связывали с эксплуатацией четвертой уязвимости нулевого дня нулевого дня —  повышения привилегий в Windows Update Medic Service (CVE-2021-36948). Этот баг использовался принудительной загрузки произвольного подписанного DLL.

    «Чтобы ограничить эти атаки, мы выпустили обновление, которое призвано уменьшить эксплуатацию уязвимостей, а также опубликовали сигнатуры вредоносных программ, что защитит пользователей Windows от эксплоитов Knotweed, применяющихся для доставки вредоносного ПО, — пишут представители Microsoft. — Мы все чаще наблюдаем, как компании частного сектора, занимающиеся наступательной безопасностью, продают свои инструменты авторитарным режимам, которые действуют вразрез с буквой закона и нормами прав человека, и применяют их для атак на правозащитников, журналистов, диссидентов и других представителей гражданского общества».

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии