Microsoft: KNOTWEED e DSIRF dietro lo sfruttamento di diverse falle 0-day. Cosa sapere e come proteggersi

da Hardware Upgrade :

Il Microsoft Threat Intelligence Center (MSTIC) e il Microsoft Security Response Center (MSRC) hanno scoperto una connessione fra l’attore malevolo KNOTWEED e DSIRF, gruppi che hanno utilizzato diversi exploit su Windows e software Adobe in attacchi mirati verso consumatori e organizzazioni europee e latinoamericane. Il malware utilizzato in questi attacchi stato tracciato dagli esperti come Subzero.


Il team ha collegato KNOTWEED al fornitore di spyware austriaco DSIRF, che si promuove ufficialmente come una societ che fornisce servizi di ricerca di informazioni, analisi forense e intelligence basata sui dati alle aziende. Secondo Microsoft, per, DSIRF il team alla base di molti dei tool usati dal malware Subzero, che i partner possono utilizzare per accedere illegalmente a telefoni, computer e dispositivi di rete e connessi a Internet. Secondo i dati analizzati dalla societ di intelligence sulle minacce RiskIQ, inoltre, anche l’infrastruttura utilizzata da febbraio 2020 per la distribuzione del malware collegata a DSIRF, cos come anche il sito ufficiale e i domini utilizzati per il debug e la distribuzione del malware.

KNOTWEED e DSIRF: da febbraio 2020 attaccate organizzazioni europee e latinoamericane


“Fra questi l’infrastruttura command-and-control utilizzata dal malware che si collega direttamente a DSIRF, un account GitHub associato a DSIRF utilizzato in un attacco, un certificato di firma del codice rilasciato a DSIRF utilizzato per firmare un exploit e altri report open-source segnalano un collegamento fra Subzero a DSIRF”, si legge nel lungo report redatto da Microsoft. Alcuni attacchi di KNOTWEED osservati dall’azienda hanno preso di mira studi legali, banche e organizzazioni di consulenza strategica in tutto il mondo, tra cui Austria, Regno Unito e Panama.


KNOTWEED e DSIRF: da febbraio 2020 attaccate organizzazioni europee e latinoamericane


Ma quali sono i pericoli di Subzero sui sistemi delle vittime? Una volta distribuito il payload, il malware si suddivide in due elementi: Corelump, che include il payload vero e proprio, e Jumplump. Pu essere caricato anche all’interno di apparentemente innocui file JPG o Excel, ed capace di diverse operazioni: pu tenere traccia di tutti i tasti digitati dagli utenti con la funzione di keylogging, pu scattare screenshot, esfiltrare dati ed eseguire comandi da remoto o plugin arbitrari scaricati attraverso il server command-and-control. Sui sistemi osservati da Microsoft sono state rilevate operazioni come l’abilitazione della visualizzazione delle credenziali di accesso in chiaro, il dumping delle stesse credenziali attraverso il processo comsvcs.dll, il tentativo di accedere alle e-mail con credenziali scaricate da un indirizzo IP del gruppo malevolo, tentativi di download di strumenti malevoli di KNOTWEED via Curl e anche tentativi di esecuzione di script PowerShell direttamente da account GitHub associati a DSIRF.

Tra gli zero-day utilizzati nelle campagne malware Microsoft sottolinea la presenza della vulnerabilit contrassegnata comeCVE-2022-22047, che stata corretta di recente. La falla 0-day ha consentito agli aggressori di scalare i privilegi, aggirare le sandbox e ottenere l’abilit di eseguire codice a livello di sistema. Lo scorso anno KNOTWEED ha anche sfruttato due exploit di escalation di privilegi su Windows (CVE-2021-31199eCVE-2021-31201) insieme a un exploit di Adobe Reader (CVE-2021-28550), tutti corretti a giugno 2021. Lo scorso anno il gruppo riuscito inoltre a sfruttare una ulteriore falla dello stesso tipo, presente nel servizio Windows Update Medic (CVE-2021-36948).

Microsoft raccomanda di prestare attenzione a sei punti fondamentali per proteggersi dagli attacchi del gruppo, che traduciamo di seguito:

  • Dare massima priorit all’applicazione della patch di CVE-2022-22047.
  • Verificare che Microsoft Defender Antivirus sia aggiornato all’aggiornamento di sicurezza 1.371.503.0 o successivi
  • Verificare tutti gli Indicators of compromise (IOCs) riportati nel post ufficiale di Microsoft per individuare l’eventuale minaccia subita
  • Modificare le impostazioni di protezione delle macro di Excel per controllare quali macro vengono eseguite e in quali circostanze quando si apre una cartella di lavoro. E’ inoltre possibile bloccare le macro XLM o VBA dannose assicurandosi che sia attiva la scansione delle macro tramite Antimalware Scan Interface (AMSI).
  • Abilitare l’autenticazione a pi fattori (MFA) su tutti i servizi con accesso a internet. Microsoft consiglia inoltre l’uso di soluzioni passwordless, come Microsoft Authenticator.
  • Analizzare tutte le attivit di autenticazione di accesso remoto, con particolare attenzione agli account configurati con autenticazione a fattore singolo, per confermarne l’autenticit e indagare su eventuali attivit anomale.

Idee regalo,
perch perdere tempo e rischiare di sbagliare?

REGALA
UN BUONO AMAZON
!

Source link