微软表示,Knotweed Euro 网络雇佣军攻击私营部门
微软发布了对欧洲“私营部门攻击者”的分析,旨在帮助其客户发现贪钱的黑帮攻击的迹象。
被微软威胁情报中心和安全响应中心称为 Knotweed的私营部门目标小组利用多个 Windows 和 Adobe 零日漏洞攻击欧洲和中美洲客户。
根据微软的说法,该组织本身就是一家位于奥地利的 PSOA。根据微软的报告,虽然该组织看起来非常光明正大,网站上充斥着关于信息收集和公司 20 年专业知识的商业言论,但该组织与 SubZero 恶意软件的开发和销售有关。
“迄今为止观察到的受害者,”微软指出,“包括奥地利、英国和巴拿马等国家的律师事务所、银行和战略咨询公司。”
不出所料,该恶意软件利用包括零日漏洞在内的许多漏洞来渗透受害者的计算机。2022 年,发现通过电子邮件发送的 PDF 文档中打包了漏洞利用,当与零日 Windows 权限提升漏洞结合使用时,导致了 SubZero 的部署。SubZero 本身是一个 rootkit,可以完全控制受感染的系统。
修补后的CVE-2022-22047漏洞出现在攻击中,并可以逃离沙箱。自然,微软热衷于用户应用安全补丁,尽管有一些不幸的副作用......
“漏洞利用链开始,”微软解释说,“从沙盒化的 Adobe Reader 渲染器进程将恶意 DLL 写入磁盘。然后通过提供具有未记录属性的应用程序清单,利用 CVE-2022-22047 漏洞攻击系统进程指定恶意 DLL 的路径。
“然后,下一次产生系统进程时,使用恶意激活上下文中的属性,从给定路径加载恶意DLL,实现系统级代码执行。”
利用当年修补的漏洞,在 2021 年跟踪了其他攻击。一项部署被追踪到一个伪装成房地产文档的 Excel 文件,其中包含恶意 Excel 4.0 宏(被《Kama Sutra》中的大量文本混淆。)
一旦进入,恶意软件就会潜伏在内存中,可以捕获屏幕截图、执行键盘记录、泄露文件、运行远程 shell 并从 Knotweed 的 C2 服务器下载插件。
调查人员已经确定了 Knotweed 控制下的大量 IP 地址。令人沮丧的是,微软指出“这个主要由 Digital Ocean 和 Choopa 托管的基础设施至少从 2020 年 2 月起就一直在积极地为恶意软件提供服务,并且一直持续到撰写本文时。”
随着该组织的活动持续进行,微软唯一的建议似乎是在补丁和恶意软件检测方面保持最新,并注意诸如凭证转储和启用明文凭证之类的泄露后操作。
此外,建议切换到多重身份验证并更改 Excel 宏安全设置,以确保启用反恶意软件扫描接口的运行时宏扫描。
总体而言,微软的分析既是对活跃群体的有趣评估,也是对不法分子和研究人员之间正在进行的竞赛的清醒提醒。可悲的是,看起来关于漏洞、漏洞利用和补丁的打地鼠游戏不太可能很快结束。
