Le han dicho a Microsoft que el grupo de hackers Knotweed está vinculado al proveedor austriaco de software espía DSIRF, que a menudo también actúa como un cibermercenario. Los investigadores han determinado que Knotweed está atacando a organizaciones europeas y centroamericanas utilizando el kit de herramientas de malware Subzero..
Déjame recordarte que también escribimos eso. Expertos vinculados Gato negro (ALPHV) ransomware para Materia Negra y Lado oscuro grupos, y también eso Corporación malvada Ransomware haciéndose pasar por Bandeja de carga útil Grupo evitará sanciones de Estados Unidos.
en el oficial sitio web, DSIRF se anuncia como una empresa que se dedica a la analítica, ciberforense, e inteligencia relacionada con los datos. Sin embargo, Microsoft asocia esta empresa con la Bajo cero malware, qué clientes DSIRF pueden usar para hackear sus teléfonos, ordenadores, dispositivos de red, etcétera.
Más temprano, mientras estudiaba el nudoso ataques, la empresa de seguridad de la información RiesgoIQ También descubrió que la infraestructura que sirve malware desde febrero 2020 puede estar asociado con DSIRF, incluyendo el sitio web oficial y los dominios de la empresa, que probablemente se utilizaron para depurar y preparar a Subzero para el trabajo..
Ahora, Centro de inteligencia de amenazas de Microsoft (mstic) analistas están escribiendo sobre múltiples vínculos entre DSIRF y las herramientas maliciosas utilizado en ataques de Knotweed. En particular, estamos hablando de la C&Infraestructura C utilizada por malware; un DSIRF vinculado GitHub cuenta que fue utilizada en uno de los ataques; un certificado de firma de código emitido por DSIRF y utilizado para firmar el exploit; y otras publicaciones que vincularon a Subzero directamente con DSIRF.
Microsoft ha estudiado algunos de los ataques de Knotweed y ha descubierto que estaban dirigidos a bufetes de abogados, bancos, y organizaciones de consultoría en todo el mundo, incluyendo Austria, el Reino Unido, y Panamá.
En dispositivos comprometidos, los atacantes se desplegaron núcleo, la carga útil principal que se ejecutó desde la memoria para evitar la detección, así como bulto de salto, un cargador muy ofuscado que descargó y cargó Corelump en la memoria.
La carga útil principal de Subzero tiene muchas características., incluyendo la interceptación de pulsaciones de teclas, la captura de pantalla, robo de datos, así como ejecutar shells remotos y complementos arbitrarios descargados desde el servidor de control.
En sistemas comprometidos donde Knotweed implementó su malware, Microsoft ha observado varias consecuencias de la infracción, incluido:
- estableciendo UseLogonCredential en «1» para habilitar credenciales de texto sin formato;
- recopilación de credenciales a través de comsvcs.dll;
- intentar acceder a correos electrónicos con un volcado de credenciales desde una dirección IP de Knotweed;
- usando Curl para descargar herramientas Knotweed desde archivos compartidos, incluyendo objetos vultrógenos[.]com;
- ejecutar scripts de PowerShell directamente desde GitHub y una cuenta asociada con DSIRF.
Entre el 0-día vulnerabilidades que Knotweed utilizó en sus campañas, Microsoft destaca el problema solucionado recientemente CVE-2022-22047, que ayudó a los atacantes a elevar los privilegios, salir de la zona de pruebas y lograr la ejecución de código a nivel de sistema.
Además, El año pasado, Knotweed utilizó una cadena de exploits que constaba de dos vulnerabilidades de escalada de privilegios de Windows. (CVE-2021-31199 y CVE-2021-31201) en combinación con un exploit para un Adobe Vulnerabilidad del lector (CVE-2021-28550). Todos estos errores se solucionaron en junio. 2021.
También en 2021, el grupo fue asociado con la explotación de la cuarta vulnerabilidad de día 0 que era la escalada de privilegios en el Servicio Médico de Windows Update (CVE-2021-36948). Este error se utilizó para forzar la carga de una DLL firmada arbitrariamente..
