29.07.2022 | Горцы-наемники проводят атаки на юридические фирмы Европы и Центральной Америки |
Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) опубликовали анализ базирующейся в Австрии группировки кибернаемников KNOTWEED (DSIRF). Эта группа использовала несколько эксплойтов нулевого дня Windows и Adobe в атаках на частный сектор из Европы и Центральной Америки. По словам Microsoft, сайт австрийской PSOA-группы (private-sector offensive actor) KNOTWEED заполнен рассуждениями о сборе информации и 20-летнем опыте компании. Согласно отчету, группа связана с разработкой и продажей вредоносного ПО SubZero. Жертвами хакеров стали юридические фирмы, банки и стратегические консультанты в Австрии, Великобритании и Панаме. В 2022 году были обнаружены эксплойты, упакованные в PDF-документ, который отправлялся жертвам по электронной почте. Документ в сочетании с эксплойтом нулевого дня для повышения привилегий Windows привел к развертыванию SubZero. Сам SubZero представляет собой руткит, предоставляющий полный контроль над скомпрометированной системой. Устраненная уязвимость CVE-2022-22047 использовалась в атаках и позволяла выйти за пределы песочницы. Цепочка эксплойтов начиналась с записи вредоносного DLL-файла на диск из изолированного процесса рендеринга Adobe Reader. Затем эксплойт CVE-2022-22047 был использован для нацеливания на системный процесс путем предоставления манифеста приложения с недокументированным атрибутом, который указывал путь к вредоносному DLL. Когда системный процесс был запущен в следующий раз, был использован атрибут в контексте вредоносной активации, вредоносный DLL был загружен с заданного пути, и было достигнуто выполнение кода на системном уровне. Оказавшись в системе, вредоносное ПО может прятаться в памяти и выполнять следующие действия:
Следователи выявили множество IP-адресов, находящихся под контролем группы. По словам Microsoft, инфраструктура, размещенная провайдерами Digital Ocean и Choopa, активно обслуживает вредоносные программы как минимум с февраля 2020 года и продолжает работать на данный момент. Microsoft посоветовала пользователям регулярно применять обновления ПО, сканировать систему антивирусными программами, а также использовать многофакторную аутентификацию . Кроме того, компания порекомендовала изменить параметры безопасности макросов Excel, чтобы обеспечить сканирование макросов на наличие вредоносных программ. |
Проверить безопасность сайта