Microsoft, Knotweed olarak bilinen bir tehdit grubunu, DSIRF adında Subzero olarak adlandırılan bir kötü amaçlı araç seti kullanarak Avrupa ve Orta Amerika kuruluşlarını hedefleyen siber paralı bir kıyafet olarak da çalışan bir Avusturyalı casus yazılım satıcısına bağladı.
DSIRF, web sitesinde kendisini şirketlere bilgi araştırması, adli tıp ve veri odaklı istihbarat hizmetleri sağlayan bir şirket olarak tanıtıyor.
Ancak, müşterilerinin hedeflerin telefonlarını, bilgisayarlarını, ağını ve internete bağlı cihazları kesmek için kullanabileceği Subzero kötü amaçlı yazılımlarının geliştirilmesiyle bağlantılıdır.
Knotweed saldırılarını araştırırken pasif DNS verilerini kullanan tehdit istihbarat firması Riskiq ayrıca, resmi web sitesi ve muhtemelen Subzero kötü amaçlı yazılımlarda hata yapmak ve sahne almak için kullanılan alanlar da dahil olmak üzere Şubat 2020'den beri DSIRF ile bağlantılı kötü amaçlı yazılım sunan altyapı da buldu.
Microsoft Tehdit İstihbarat Merkezi (MSTIC), DSIRF ve Knotweed'in saldırılarında kullanılan kötü amaçlı araçlar arasında birden fazla bağlantı buldu.
"Bunlar, doğrudan DSIRF'ye bağlanan kötü amaçlı yazılımlar tarafından kullanılan komut ve kontrol altyapısı, bir saldırıda kullanılan DSIRF ile ilişkili bir github hesabı, bir istismar imzalamak için kullanılan DSIRF'ye verilen bir kod imzalama sertifikası ve diğer açık kaynak haberleri içerir. Subzero'yu DSIRF'ye atfeten raporlar, "dedi Microsoft.
Microsoft tarafından gözlemlenen bazı knotweed saldırıları, Avusturya, İngiltere ve Panama dahil olmak üzere dünya çapında hukuk firmalarını, bankaları ve stratejik danışmanlık organizasyonlarını hedef aldı.
Microsoft, "Bu kötü amaçlı yazılımın faydası hakkındaki soruşturmamızın bir parçası olarak, Microsoft'un bir subzer kurbanla iletişimi, herhangi bir kırmızı ekip veya penetrasyon testi yapmadıklarını ve yetkisiz, kötü niyetli faaliyet olduğunu doğruladı."
"Bugüne kadar gözlemlenen kurbanlar arasında Avusturya, İngiltere ve Panama gibi ülkelerde hukuk firmaları, bankalar ve stratejik danışmanlıklar yer alıyor."
Meyveden çıkarılan cihazlarda, saldırganlar Corelump'ı, bellekten algılamaya çalışan birincil yükü ve corelump'ı belleğe indiren ve yükleyen ağır bir şekilde şaşkın bir kötü amaçlı yazılım yükleyici olan Jumpump'u konuşlandırdı.
Birincil Subzero yükü, anahtarlama, ekran görüntüleri yakalama, verileri püskürtmek ve komut ve kontrol sunucusundan indirilen uzak kabukları ve keyfi eklentileri çalıştırmak gibi birçok özelliğe sahiptir.
Knotweed'in kötü amaçlı yazılımını konuşlandırdığı sistemlerde Microsoft, aşağıdakiler dahil olmak üzere çeşitli kontromise sonrası eylemler gözlemledi:
Knotweed kampanyalarında kullanılan sıfır günler arasında Microsoft, son zamanlarda yamalı CVE-2022-22047'yi vurgular, bu da saldırganların ayrıcalıkları artırmasına, kum havuzlarından kaçmasına ve sistem düzeyinde kod yürütülmesine yardımcı olur.
Geçen yıl, Knotweed ayrıca bir Adobe Reader istismarıyla (CVE-2021-28550) birlikte iki Windows ayrıcalık artış istismarından (CVE-2021-31199 ve CVE-2021-31201) yapılmış bir istismar zinciri kullandı, hepsi Haziran ayında yamaladı 2021.
2021'de, sibercenary grubu ayrıca, hizmeti keyfi bir imzalı DLL yüklemeye zorlamak için kullanılan Windows Update Medic Hizmetinde (CVE-2021-36948) bir Windows ayrıcalık artış kusuru olan dördüncü bir sıfır günün sömürülmesi ile bağlantılıydı.
Bu tür saldırılara karşı savunmak için Microsoft, müşterilere şunları önerir:
Microsoft'un Dijital Güvenlik Birimi genel müdürü Cristin Goodwin, "Bu saldırıları sınırlamak için, Windows müşterilerini Knotweed'in kötü amaçlı yazılımlarını teslim etmek için kullandıkları istismarlardan koruyacak güvenlik açıklarının kullanımını ve yayınlanmış kötü amaçlı yazılım imzalarını azaltmak için bir yazılım güncellemesi yayınladık." Dedi.
Goodwin, "PSOA'ların araçlarını giderek daha fazla insan hakları savunucularını, gazetecileri, muhalifleri ve sivil toplumda yer alan diğerlerini hedeflemek için kullanıldıkları hukukun üstünlüğü ve insan hakları normlarıyla tutarsız hareket eden otoriter hükümetlere satıldığını görüyoruz."
Microsoft Exchange Sunucuları IIS Backdoors ile giderek daha fazla hacklendi
Yeni CloudMensis Kötü Yazılım Backdroors Macs kurbanların verilerini çalmak için
Microsoft, düzinelerce Azure Site Kurtarma ayrıcalığını düzeltiyor.
Microsoft, yüzlerce Windows Networks'te Raspberry Robin solucanını bulur
Proxy Services için bant genişliğini çalmak için hacklenen Microsoft SQL sunucuları
Kaynak: Bleeping Computer