Горцы-наемники проводят атаки на юридические фирмы Европы и Центральной Америки

[Artifact]

Кампания использует эксплойты нулевого дня Windows и Adobe для развертывания невидимого ПО SubZero

Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) опубликовали анализ базирующейся в Австрии группировки кибернаемников KNOTWEED (DSIRF). Эта группа использовала несколько эксплойтов нулевого дня Windows и Adobe в атаках на частный сектор из Европы и Центральной Америки.
По словам Microsoft, сайт австрийской PSOA-группы (private-sector offensive actor) KNOTWEED заполнен рассуждениями о сборе информации и 20-летнем опыте компании. Согласно отчету, группа связана с разработкой и продажей вредоносного ПО SubZero. Жертвами хакеров стали юридические фирмы, банки и стратегические консультанты в Австрии, Великобритании и Панаме.
В 2022 году были обнаружены эксплойты, упакованные в PDF-документ, который отправлялся жертвам по электронной почте. Документ в сочетании с эксплойтом нулевого дня для повышения привилегий Windows привел к развертыванию SubZero. Сам SubZero представляет собой руткит, предоставляющий полный контроль над скомпрометированной системой.
Устраненная уязвимость CVE-2022-22047 использовалась в атаках и позволяла выйти за пределы песочницы. Цепочка эксплойтов начиналась с записи вредоносного DLL-файла на диск из изолированного процесса рендеринга Adobe Reader. Затем эксплойт CVE-2022-22047 был использован для нацеливания на системный процесс путем предоставления манифеста приложения с недокументированным атрибутом, который указывал путь к вредоносному DLL.
Когда системный процесс был запущен в следующий раз, был использован атрибут в контексте вредоносной активации, вредоносный DLL был загружен с заданного пути, и было достигнуто выполнение кода на системном уровне.
Оказавшись в системе, вредоносное ПО может прятаться в памяти и выполнять следующие действия:

• делать снимки экрана;

• выполнять кейлоггинг;

• эксфильтровать файлы;

• запускать удаленную оболочку;

• загружать плагины с C2-сервера KNOTWEED.

Следователи выявили множество IP-адресов, находящихся под контролем группы. По словам Microsoft, инфраструктура, размещенная провайдерами Digital Ocean и Choopa, активно обслуживает вредоносные программы как минимум с февраля 2020 года и продолжает работать на данный момент.
Microsoft посоветовала пользователям регулярно применять обновления ПО, сканировать систему антивирусными программами, а также использовать многофакторную аутентификацию . Кроме того, компания порекомендовала изменить параметры безопасности макросов Excel, чтобы обеспечить сканирование макросов на наличие вредоносных программ.