Microsoft phát hiện ra công ty Áo khai thác Windows và Adobe Zero-Day khai thác

Windows và Adobe Zero-Days

Một lính đánh thuê mạng “bề ngoài là bán các dịch vụ phân tích thông tin và bảo mật chung cho các khách hàng thương mại” đã sử dụng một số hoạt động khai thác zero-day của Windows và Adobe trong các cuộc tấn công có mục tiêu hạn chế và có mục tiêu cao nhằm vào các thực thể châu Âu và Trung Mỹ.

Công ty, mà mô tả là một kẻ tấn công khu vực tư nhân (PSOA), là một trang phục có trụ sở tại Áo có tên là DSIRF có liên quan đến việc phát triển và cố gắng bán một phần của cyberweapon được gọi là Subzero, có thể được sử dụng để tấn công các mục tiêu ‘điện thoại, máy tính và các thiết bị kết nối internet.

“Các nạn nhân được quan sát cho đến nay bao gồm các công ty luật, ngân hàng và cơ quan tư vấn chiến lược ở các quốc gia như Áo, Vương quốc Anh và Panama”, nhóm an ninh mạng của gã khổng lồ công nghệ cho biết trong một báo cáo hôm thứ Tư.

Microsoft đang theo dõi diễn viên này với biệt danh KNOTWEED, tiếp tục xu hướng đặt tên cho các PSOA bằng cách sử dụng các tên được đặt cho cây cối và bụi rậm. Công ty trước đây đã chỉ định tên SOURGUM cho nhà cung cấp phần mềm gián điệp Candiru của Israel.

KNOTWEED được biết đến là có thể tham gia vào cả hoạt động truy cập dưới dạng dịch vụ và hack cho thuê, cung cấp bộ công cụ của mình cho các bên thứ ba cũng như liên kết trực tiếp với chính nó trong một số cuộc tấn công nhất định.

Trong khi các công cụ trước đây đòi hỏi việc bán các công cụ hack end-to-end có thể được người mua sử dụng trong các hoạt động của riêng họ mà không có sự tham gia của kẻ tấn công, các nhóm hack-cho-thuê điều hành các hoạt động được nhắm mục tiêu thay mặt cho khách hàng của họ.

Xem tiếp:   Phần mềm gián điệp Pegasus cho biết iPhone bị tấn công của Bộ Ngoại giao và các nhà ngoại giao Hoa Kỳ

Việc triển khai Subzero được cho là xảy ra thông qua việc khai thác nhiều vấn đề, bao gồm chuỗi khai thác tận dụng lỗ hổng thực thi mã từ xa của Adobe Reader (RCE) và lỗi zero-day (CVE-2022-22047), lỗi sau của đã được Microsoft giải quyết như một phần của bản cập nhật Bản vá thứ Ba tháng Bảy.

“CVE-2022-22047 đã được sử dụng trong các cuộc tấn công liên quan đến KNOTWEED để leo thang đặc quyền. Lỗ hổng cũng cung cấp khả năng thoát khỏi hộp cát và thực thi mã cấp hệ thống”, Microsoft giải thích.

Các chuỗi tấn công tương tự được quan sát vào năm 2021 đã tận dụng sự kết hợp của hai hoạt động khai thác leo thang đặc quyền của Windows (CVE-2021-31199 và CVE-2021-31201) kết hợp với một lỗ hổng trình đọc Adobe (CVE-2021-28550). Ba lỗ hổng bảo mật đã được giải quyết vào tháng 6 năm 2021.

Việc triển khai Subzero sau đó đã xảy ra thông qua lần khai thác thứ tư, lần này là lợi dụng lỗ hổng bảo mật đặc quyền trong Windows Update Medic Service (CVE-2021-36948), đã bị Microsoft đóng cửa vào tháng 8 năm 2021.

Ngoài các chuỗi khai thác này, các tệp Excel giả dạng tài liệu bất động sản đã được sử dụng như một đường dẫn để phân phối phần mềm độc hại, với các tệp chứa macro Excel 4.0 được thiết kế để bắt đầu quá trình lây nhiễm.

Bất kể phương pháp được sử dụng là gì, sự xâm nhập lên đến đỉnh điểm trong việc thực thi shellcode, được sử dụng để truy xuất tải trọng giai đoạn hai được gọi là Corelump từ máy chủ từ xa dưới dạng hình ảnh JPEG cũng nhúng một trình tải có tên Jumplump, đến lượt nó, tải Corelump vào bộ nhớ.

Xem tiếp:   Tin tặc Trung Quốc phân phối Công cụ Máy bay ném bom SMS với phần mềm độc hại ẩn bên trong

Bộ cấy né tránh đi kèm với một loạt các khả năng, bao gồm ghi khóa, chụp ảnh màn hình, tách tệp, chạy trình bao từ xa và chạy các plugin tùy ý được tải xuống từ máy chủ từ xa.

Cũng được triển khai trong các cuộc tấn công là các tiện ích dành riêng như Mex, một công cụ dòng lệnh để chạy các plugin bảo mật nguồn mở như Chisel và PassLib, một công cụ để kết xuất thông tin xác thực từ các trình duyệt web, ứng dụng email và trình quản lý thông tin đăng nhập Windows.

Microsoft cho biết họ đã phát hiện ra KNOTWEED đang tích cực phân phối phần mềm độc hại kể từ tháng 2 năm 2020 thông qua cơ sở hạ tầng được lưu trữ trên DigitalOcean và Choopa, cùng với việc xác định các miền phụ được sử dụng để phát triển phần mềm độc hại, gỡ lỗi Mex và dàn dựng tải trọng Subzero.

Nhiều liên kết cũng đã được phát hiện giữa DSIRF và các công cụ độc hại được sử dụng trong các cuộc tấn công của KNOTWEED.

“Chúng bao gồm cơ sở hạ tầng điều khiển và lệnh được sử dụng bởi phần mềm độc hại liên kết trực tiếp với DSIRF, tài khoản GitHub liên kết với DSIRF đang được sử dụng trong một cuộc tấn công, chứng chỉ ký mã được cấp cho DSIRF được sử dụng để ký khai thác và các tin tức nguồn mở khác Redmond lưu ý rằng các báo cáo quy kết Subzero cho DSIRF.

Subzero không khác gì các phần mềm độc hại có sẵn như Pegasus, Predator, Hermit và DevilsTongue, có khả năng xâm nhập vào điện thoại và máy Windows để điều khiển từ xa thiết bị và hút sạch dữ liệu, đôi khi không yêu cầu người dùng nhấp vào liên kết độc hại.

Xem tiếp:   Microsoft: Tin tặc khai thác lỗi SolarWinds Serv-U mới liên quan đến các cuộc tấn công Log4j

Nếu có bất cứ điều gì, những phát hiện mới nhất cho thấy một thị trường quốc tế đang phát triển cho các công nghệ giám sát tinh vi như vậy để thực hiện các cuộc tấn công có chủ đích nhằm vào các thành viên của xã hội dân sự.

Mặc dù các công ty bán phần mềm gián điệp thương mại quảng cáo sản phẩm của họ như một phương tiện để giải quyết các tội phạm nghiêm trọng, nhưng bằng chứng thu thập được cho đến nay cho thấy một số trường hợp các công cụ này bị các chính phủ độc tài và các tổ chức tư nhân lợi dụng để rình mò những người ủng hộ nhân quyền, nhà báo, nhà bất đồng chính kiến ​​và chính trị gia.

Nhóm phân tích mối đe dọa của Google (TAG), đang theo dõi hơn 30 nhà cung cấp khai thác diều hâu hoặc khả năng giám sát đối với các tác nhân được nhà nước bảo trợ, cho biết hệ sinh thái đang bùng nổ nhấn mạnh “mức độ mà các nhà cung cấp giám sát thương mại đã tăng cường khả năng mà trước đây chỉ được sử dụng bởi các chính phủ.”

“Các nhà cung cấp này hoạt động với chuyên môn kỹ thuật chuyên để phát triển và vận hành các khai thác”, Shane Huntley của TAG cho biết trong một lời khai trước Ủy ban Tình báo Hạ viện Hoa Kỳ hôm thứ Tư, đồng thời cho biết thêm, “việc sử dụng nó ngày càng tăng, được thúc đẩy bởi nhu cầu từ các chính phủ.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …