Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Австрийские наемники проводят атаки на юридические фирмы Европы и Центральной Америки

29/07/22

a7856129e3b319dd79df72c10a23a222

Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) опубликовали анализ базирующейся в Австрии группировки кибернаемников KNOTWEED (DSIRF). Эта группа использовала несколько эксплойтов нулевого дня Windows и Adobe в атаках на частный сектор из Европы и Центральной Америки.

По словам Microsoft, сайт австрийской PSOA-группы (private-sector offensive actor) KNOTWEED заполнен рассуждениями о сборе информации и 20-летнем опыте компании. Согласно отчету, группа связана с разработкой и продажей вредоносного ПО SubZero. Жертвами хакеров стали юридические фирмы, банки и стратегические консультанты в Австрии, Великобритании и Панаме, пишут в Securitylab.

В 2022 году были обнаружены эксплойты, упакованные в PDF-документ, который отправлялся жертвам по электронной почте. Документ в сочетании с эксплойтом нулевого дня для повышения привилегий Windows привел к развертыванию SubZero. Сам SubZero представляет собой руткит, предоставляющий полный контроль над скомпрометированной системой.

Устраненная уязвимость CVE-2022-22047 использовалась в атаках и позволяла выйти за пределы песочницы. Цепочка эксплойтов начиналась с записи вредоносного DLL-файла на диск из изолированного процесса рендеринга Adobe Reader. Затем эксплойт CVE-2022-22047 был использован для нацеливания на системный процесс путем предоставления манифеста приложения с недокументированным атрибутом, который указывал путь к вредоносному DLL.

Когда системный процесс был запущен в следующий раз, был использован атрибут в контексте вредоносной активации, вредоносный DLL был загружен с заданного пути, и было достигнуто выполнение кода на системном уровне.

Оказавшись в системе, вредоносное ПО может прятаться в памяти и выполнять следующие действия:

  • делать снимки экрана;
  • выполнять кейлоггинг;
  • эксфильтровать файлы;
  • запускать удаленную оболочку;
  • загружать плагины с C2-сервера KNOTWEED.

Следователи выявили множество IP-адресов, находящихся под контролем группы. По словам Microsoft, инфраструктура, размещенная провайдерами Digital Ocean и Choopa, активно обслуживает вредоносные программы как минимум с февраля 2020 года и продолжает работать на данный момент.

Microsoft посоветовала пользователям регулярно применять обновления ПО, сканировать систему антивирусными программами, а также использовать многофакторную аутентификацию . Кроме того, компания порекомендовала изменить параметры безопасности макросов Excel, чтобы обеспечить сканирование макросов на наличие вредоносных программ.

Темы:MicrosoftЕвропаПреступленияКиберугрозы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...