Le Microsoft Threat Intelligence Center (MSTIC) avec le Microsoft Security Response Center (MSRC) a publié un article de blog identifiant et détaillant les exploits de logiciels malveillants d’un groupe basé en Autriche sous le nom de KNOTWEED.
Selon le rapport conjoint du MSTIC et du MSRC, un acteur offensif du secteur privé (PSOA) a utilisé plusieurs exploits Windows et Adobe Zero-day pour développer et vendre des logiciels malveillants appelés Subzero afin d’attaquer des banques, des consultants, des agences et des cabinets d’avocats en Europe et en Europe centrale. régions américaines.
Dans son article de blog technique, qui est utilisé comme témoignage écrit soumis à le comité du renseignement de la Chambre des États-Unis cette semaine, Microsoft détaille les actions de DSIRF qui est le nom officiel des développeurs de KNOTWEED.
Malgré les revendications de légitimité de DSIRF en tant qu’entreprise multinationale d’analyse des risques qui utilise « un ensemble de techniques hautement sophistiquées pour collecter et analyser des informations », Microsoft a surveillé et étiqueté le mauvais acteur en tant que distributeur de logiciels espions destinés à une surveillance non autorisée.
Plusieurs les nouvelles ont lié DSIRF à l’ensemble d’outils malveillants Subzero qui a profité des exploits Zero-day dans Windows et Adobe Reader, en 2021 et 2022.
En mai 2022, MSTIC a découvert une exécution de code à distance (RCE) d’Adobe Reader et une chaîne d’exploitation d’escalade de privilèges Windows de 0 jour utilisée dans une attaque qui a conduit au déploiement de Subzero. Les exploits ont été regroupés dans un document PDF qui a été envoyé à la victime par e-mail. Microsoft n’a pas été en mesure d’acquérir la partie PDF ou Adobe Reader RCE de la chaîne d’exploit, mais la version d’Adobe Reader de la victime a été publiée en janvier 2022, ce qui signifie que l’exploit utilisé était soit un exploit d’un jour développé entre janvier et mai, soit un Exploit 0-day. Sur la base de l’utilisation intensive par KNOTWEED d’autres 0-days, nous évaluons avec une confiance moyenne qu’Adobe Reader RCE est un exploit 0-day. L’exploit Windows a été analysé par MSRC, s’est avéré être un exploit 0-day, puis corrigé en juillet 2022 en tant que CVE-2022-22047. Fait intéressant, il y avait des indications dans le code d’exploitation Windows qu’il a également été conçu pour être utilisé à partir de navigateurs basés sur Chromium, bien que nous n’ayons vu aucune preuve d’attaques basées sur le navigateur.
Microsoft détaille également les exploits de KNOTWEED qui impliquent que Subzero se déguise en fichier Excel dans des documents immobiliers. « Le fichier contenait une macro malveillante qui était masquée par de gros morceaux de commentaires bénins du Kama Sutra, l’obscurcissement des chaînes et l’utilisation de macros Excel 4.0. »
Heureusement, Microsoft a pu mettre en place des protections depuis l’identification de KNOTWEED, mais conseille aux utilisateurs d’être à l’affût d’autres comportements de logiciels malveillants connus et inconnus, notamment l’examen de répertoires tels que C:\Windows\System32\spool\drivers\color\ où se trouvent des programmes légitimes. mon logiciel espion maison par inadvertance.
Si fouiller dans les registres est trop dans les bois pour certains, Microsoft suggère également des options de haut niveau plus pratiques telles que donner la priorité aux correctifs de CVE-2022-22047 lorsqu’il frappe les machines, s’assurer que l’antivirus Microsoft Defender est à jour, modifier la macro Excel paramètres de sécurité, en activant l’authentification multifacteur (MFA) et en examinant régulièrement l’activité d’authentification des infrastructures d’accès à distance.
