Microsoft: Windows, Adobe zero-days utilizzati per distribuire malware Subzero

Vai ai contenuti

Microsoft: Windows, Adobe zero-days utilizzati per distribuire malware Subzero

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
*aggiornate il sistema ed utilizzate un buon antivirus*

Microsoft: Windows, Adobe zero-days utilizzati per distribuire malware Subzero

Microsoft ha collegato un gruppo di minacce noto come Knotweed a un fornitore di spyware austriaco che opera anche come un gruppo di mercenari informatici chiamato DSIRF che prende di mira entità europee e centroamericane utilizzando un set di strumenti malware chiamato Subzero.

Sul suo sito Web, DSIRF si promuove come una società che fornisce servizi di ricerca delle informazioni, analisi forense e intelligence basata sui dati alle aziende.

Tuttavia, è stato collegato allo sviluppo del malware Subzero che i suoi clienti possono utilizzare per hackerare telefoni, computer e dispositivi di rete e connessi a Internet di obiettivi.

Utilizzando i dati DNS passivi durante le indagini sugli attacchi Knotweed, la società di intelligence sulle minacce RiskIQ ha anche scoperto che l'infrastruttura che serve attivamente malware da febbraio 2020 è collegata a DSIRF, inclusi il suo sito Web ufficiale e i domini probabilmente utilizzati per eseguire il debug e mettere in scena il malware Subzero.

Il Microsoft Threat Intelligence Center (MSTIC) ha anche trovato più collegamenti tra DSIRF e strumenti dannosi utilizzati negli attacchi di Knotweed.

"Questi includono l'infrastruttura di comando e controllo utilizzata dal malware che si collega direttamente a DSIRF, un account GitHub associato a DSIRF utilizzato in un attacco, un certificato di firma del codice rilasciato a DSIRF utilizzato per firmare un exploit e altre notizie open source segnala di attribuire Subzero a DSIRF", ha affermato Microsoft.

Alcuni attacchi di Knotweed osservati da Microsoft hanno preso di mira studi legali, banche e organizzazioni di consulenza strategica in tutto il mondo, tra cui Austria, Regno Unito e Panama.

"Come parte della nostra indagine sull'utilità di questo malware, le comunicazioni di Microsoft con una vittima di Subzero hanno rivelato che non avevano commissionato alcun red teaming o test di penetrazione e hanno confermato che si trattava di attività dannosa non autorizzata", ha aggiunto Microsoft.

"Le vittime osservate fino ad oggi includono studi legali, banche e società di consulenza strategica in paesi come Austria, Regno Unito e Panama".

Sui dispositivi compromessi, gli aggressori hanno implementato Corelump, il payload principale che viene eseguito dalla memoria per eludere il rilevamento, e Jumplump, un caricatore di malware fortemente offuscato che scarica e carica Corelump nella memoria.

Il payload principale di Subzero ha molte funzionalità, tra cui keylogging, acquisizione di schermate, esfiltrazione di dati ed esecuzione di shell remote e plug-in arbitrari scaricati dal suo server di comando e controllo.

Sui sistemi in cui Knotweed ha distribuito il proprio malware, Microsoft ha osservato una serie di azioni successive al compromesso, tra cui:

   Impostazione di UseLogonCredential su "1" per abilitare le credenziali di testo normale
   Dumping delle credenziali tramite comsvcs.dll
   Tentativo di accedere alle e-mail con credenziali scaricate da un indirizzo IP KNOWEEED
   Utilizzo di Curl per scaricare gli strumenti KNTWEED da condivisioni di file pubblici come vultrobjects[.]com
   Esecuzione di script di PowerShell direttamente da un GitHub creato da un account associato a DSIRF

Tra gli zero-day utilizzati nelle campagne di Knotweed, Microsoft evidenzia il CVE-2022-22047 recentemente aggiornato, che ha aiutato gli aggressori ad aumentare i privilegi, sfuggire ai sandbox e ottenere l'esecuzione di codice a livello di sistema.

L'anno scorso, Knotweed ha utilizzato anche una catena di exploit composta da due exploit di escalation dei privilegi di Windows (CVE-2021-31199 e CVE-2021-31201) insieme a un exploit di Adobe Reader (CVE-2021-28550), tutti patchati a giugno 2021.

Nel 2021, il gruppo di cybermercenari è stato anche collegato allo sfruttamento di un quarto zero-day, un difetto di escalation dei privilegi di Windows nel servizio Windows Update Medic (CVE-2021-36948) utilizzato per forzare il servizio a caricare una DLL firmata arbitrariamente.
DLL dannosa firmata con firma digitale DSIRF valida
DLL dannosa firmata (Microsoft)

Per difendersi da tali attacchi, Microsoft consiglia ai clienti di:

   Dai la priorità all'applicazione di patch di CVE-2022-22047.
   Verificare che Microsoft Defender Antivirus sia aggiornato all'aggiornamento dell'intelligence per la sicurezza 1.371.503.0 o successivo per rilevare gli indicatori correlati.
   Utilizza gli indicatori di compromissione inclusi per verificare se esistono nel tuo ambiente e valutare la potenziale intrusione.
   Modifica le impostazioni di protezione delle macro di Excel per controllare quali macro vengono eseguite e in quali circostanze quando si apre una cartella di lavoro. I clienti possono anche bloccare le macro XLM o VBA dannose assicurandosi che la scansione delle macro di runtime tramite Antimalware Scan Interface (AMSI) sia attiva.
   Abilita l'autenticazione a più fattori (MFA) per mitigare le credenziali potenzialmente compromesse e garantire che l'autenticazione a più fattori sia applicata per tutta la connettività remota.
   Esaminare tutte le attività di autenticazione per l'infrastruttura di accesso remoto, concentrandosi sugli account configurati con l'autenticazione a fattore singolo, per confermare l'autenticità e indagare su eventuali attività anomale.

"Per limitare questi attacchi, abbiamo rilasciato un aggiornamento software per mitigare l'uso delle vulnerabilità e pubblicato firme di malware che proteggeranno i clienti Windows dagli exploit che Knotweed stava utilizzando per distribuire il proprio malware", ha affermato Cristin Goodwin, Direttore generale della Digital Security Unit di Microsoft.  "Stiamo vedendo sempre più spesso gli PSOA vendere i loro strumenti a governi autoritari che agiscono in modo incoerente con lo stato di diritto e le norme sui diritti umani, dove vengono utilizzati per prendere di mira difensori dei diritti umani, giornalisti, dissidenti e altri coinvolti nella società civile", ha aggiunto Goodwin.




3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti