Microsoft dévoile une société autrichienne abusant des exploits Windows et Adobe Zero-Day

Un cybermercenaire qui “vendait soi-disant des services généraux de sécurité et d’analyse d’informations à des clients commerciaux” a utilisé plusieurs exploits Windows et Adobe zero-day dans des attaques limitées et très ciblées contre des entités européennes et d’Amérique centrale.

La société, décrite par Microsoft comme un acteur offensif du secteur privé (PSOA), est une société autrichienne appelée DSIRF qui a été liée au développement et à la tentative de vente d’une pièce d’arme cybernétique appelée En dessous de zéroqui peut être utilisé pour pirater des téléphones cibles, des ordinateurs et des appareils connectés à Internet.

“Les victimes observées jusqu’à présent comprennent des cabinets d’avocats, des banques et des cabinets de conseil en stratégie dans des pays comme l’Autriche, le Royaume-Uni et le Panama”, ont déclaré mercredi les équipes de cybersécurité du géant de la technologie dans un rapport.

Microsoft suit l’acteur sous le nom de KNOTWEED et poursuit sa tendance à nommer les PSOA avec des noms donnés aux arbres et arbustes. La société avait précédemment attribué le nom SOURGUM au fournisseur israélien de logiciels espions Candiru.

KNOTWEED est connu pour s’engager à la fois dans des opérations d’accès en tant que service et de hack-for-hire, offrant son ensemble d’outils à des tiers et s’associant également directement à certaines attaques.

La cyber-sécurité

Alors que le premier implique la vente d’outils de piratage de bout en bout qui peuvent être utilisés par l’acheteur dans ses propres opérations sans l’intervention de l’acteur attaquant, les groupes de hack-for-hire effectuent les opérations ciblées pour le compte de leurs clients.

La mise en œuvre de Subzero se produirait par l’exploitation de plusieurs problèmes, y compris une chaîne d’exploitation qui utilise une faille Adobe Reader Remote Code Execution (RCE) et un bogue d’escalade de privilèges zero-day (CVE-2022-22047), ce dernier étant abordé par Microsoft dans le cadre des mises à jour du Patch Tuesday de juillet.

“CVE-2022-22047 a été utilisé dans des attaques d’élévation de privilèges liées à KNOTWEED. La vulnérabilité a également permis d’échapper aux bacs à sable et d’exécuter du code au niveau du système”, explique Microsoft.

Des chaînes d’attaques similaires observées en 2021 utilisaient une combinaison de deux exploits d’escalade de privilèges Windows (CVE-2021-31199 et CVE-2021-31201) couplés à une erreur de lecteur Adobe (CVE-2021-28550). Les trois vulnérabilités ont été corrigées en juin 2021.

Subzero a ensuite été déployé via un quatrième exploit, profitant cette fois d’une vulnérabilité d’escalade de privilèges dans le service Windows Update Medic (CVE-2021-36948), qui a été fermé par Microsoft en août 2021.

En plus de ces chaînes d’exploitation, des fichiers Excel se faisant passer pour des documents immobiliers ont été utilisés comme conduit pour diffuser le logiciel malveillant, les fichiers contenant des macros Excel 4.0 conçues pour lancer le processus d’infection.

Quelle que soit la méthode utilisée, les violations aboutissent à l’exécution de code shell, qui est utilisé pour récupérer une charge utile de deuxième étape appelée Corelump à partir d’un serveur distant sous la forme d’une image JPEG qui a également un chargeur appelé Jumplump qui à son tour charge Corelum. en mémoire.

L’implant insaisissable est livré avec un large éventail de fonctionnalités, y compris l’enregistrement de frappe, la prise de captures d’écran, l’exfiltration de fichiers, l’exécution d’un shell distant et l’exécution de plugins arbitraires téléchargés à partir du serveur distant.

Les attaques ont également déployé des outils personnalisés tels que Mex, un outil de ligne de commande pour exécuter des plugins de sécurité open source tels que Chisel, et PassLib, un outil pour vider les informations d’identification des navigateurs Web, des clients de messagerie et du gestionnaire d’informations d’identification Windows.

Microsoft a déclaré que KNOTWEED servait activement des logiciels malveillants via une infrastructure hébergée sur DigitalOcean et Choopa depuis février 2020, en plus d’identifier les sous-domaines utilisés pour le développement de logiciels malveillants, de déboguer Mex et d’organiser la charge utile Subzero.

La cyber-sécurité

De multiples liens ont également été trouvés entre DSIRF et les outils malveillants utilisés dans les attaques de KNOTWEED.

Ceux-ci incluent l’infrastructure de commande et de contrôle utilisée par le logiciel malveillant qui se connecte directement à DSIRF, un compte GitHub associé à DSIRF utilisé dans une seule attaque, un certificat de signature de code délivré à DSIRF qui est utilisé pour exploiter, et d’autres nouvelles open source rapporte que Subzero est attribué au DSIRF », a noté Redmond.

Subzero n’est pas différent des logiciels malveillants standard tels que Pegasus, Predator, Hermit et DevilsTongue, qui sont capables d’infiltrer les téléphones et les machines Windows pour contrôler à distance les appareils et transférer des données, parfois sans que l’utilisateur ait à cliquer sur un programme malveillant. lien.

Dans tous les cas, les dernières découvertes indiquent un marché international en plein essor pour ces technologies de surveillance avancées pour mener des attaques ciblées visant des membres de la société civile.

Bien que les entreprises vendant des logiciels espions commerciaux annoncent leurs produits comme un moyen de lutter contre les crimes graves, les preuves recueillies jusqu’à présent montrent que ces outils sont utilisés à mauvais escient par des gouvernements autoritaires et des organisations privées pour se démarquer des défenseurs des droits de l’homme, des journalistes, des dissidents et des politiciens. .

Le Threat Analysis Group (TAG) de Google, qui suit plus de 30 fournisseurs vendant des exploits ou des capacités de surveillance à des acteurs parrainés par l’État, a déclaré que l’écosystème florissant “souligne à quel point les fournisseurs commerciaux de surveillance ont diffusé des capacités qui n’ont historiquement été utilisées que par les gouvernements. ” ont été utilisés.”

“Ces fournisseurs travaillent avec une expertise technique approfondie pour développer et opérationnaliser des exploits”, a déclaré Shane Huntley de TAG lors d’un témoignage devant le US House Intelligence Committee mercredi, ajoutant que “son utilisation est en croissance, alimentée par la demande du gouvernement”.

Leave a Reply

Your email address will not be published.