0-Days vendidos por una empresa austriaca utilizada para hackear usuarios de Windows, dice Microsoft

Microsoft dijo el miércoles que una empresa con sede en Austria llamada DSIRF usó varios días cero de Windows y Adobe Reader para piratear organizaciones en Europa y América Central. Varios medios de comunicación han publicado artículos como este, citando materiales de marketing y otras pruebas que vinculan a DSIRF con Subzero, un conjunto de herramientas maliciosas para la «exfiltración automatizada de datos confidenciales/privados» y «operaciones de acceso personalizadas». [including] Identifique, rastree e infiltre amenazas». Los miembros del Microsoft Threat Intelligence Center (MSTIC) dijeron que habían notado que las infecciones de malware bajo cero se estaban propagando a través de una variedad de métodos, incluida la explotación de Windows y Adobe zero-day en ese momento Reader, lo que significa los atacantes conocían las vulnerabilidades de antemano. Microsoft y Adobe lo sabían. Los objetivos de los ataques observados hasta ahora son firmas de abogados, bancos y consultorías estratégicas en países como Austria, Gran Bretaña y Panamá, aunque estos no son necesariamente los países donde los clientes de DSIRF pagaron por el ataque. «MSTIC ha encontrado múltiples vínculos entre DSIRF y las vulnerabilidades y el malware utilizado en estos ataques», escribieron los investigadores de Microsoft. «Esto incluye la infraestructura de comando y control utilizada por el malware que se vincula directamente a DSIRF, una cuenta de GitHub asociada a DSIRF para usar en un ataque, un certificado de firma de código emitido a DSIRF que se usa para firmar un Exploits usado, y otra fuente abierta las noticias informan sobre la atribución de Subzero a DSIRF».
Microsoft No se devolvió un correo electrónico enviado a DSIRF solicitando un comentario. La publicación del miércoles es la más reciente dirigida al flagelo del spyware mercenario vendido por empresas privadas. NSO Group, con sede en Israel, es el ejemplo más destacado de una empresa con fines de lucro que vende costosos exploits que a menudo comprometen los dispositivos de periodistas, abogados y activistas. Otro mercenario con sede en Israel llamado Candiru fue perfilado el año pasado por Microsoft y el Citizen Lab de la Universidad de Toronto y recientemente fue sorprendido organizando campañas de phishing en nombre de clientes que lograron eludir la autenticación de dos factores. También el miércoles, el Comité Selecto Permanente de Inteligencia de la Cámara de Representantes de EE. UU. celebró una audiencia sobre la proliferación de spyware comercial extranjero. Uno de los oradores era la hija de un exgerente de hotel en Ruanda que fue encarcelado después de salvar cientos de vidas y hablar sobre el genocidio que había tenido lugar. Ella contó cómo su teléfono fue pirateado con el software espía NSO el mismo día que se reunió con el ministro de Relaciones Exteriores belga. Refiriéndose a DSIRF usando el trabajo KNOTWEED, los investigadores de Microsoft escribieron:

En mayo de 2022, MSTIC encontró una cadena de exploits de Adobe Reader Remote Code Execution (RCE) y 0-Day Windows Privilege Escalation utilizada en un ataque que condujo a la implementación de Subzero. Los exploits se empaquetaron en un documento PDF que se envió por correo electrónico a la víctima. Microsoft no pudo adquirir el PDF o Adobe Reader RCE como parte de la cadena de explotación, pero la versión de Adobe Reader de la víctima se lanzó en enero de 2022, lo que significa que la explotación utilizada fue una explotación de 1 día que se desarrolló entre enero y mayo. , o un exploit de día 0. Basándonos en el uso extensivo de KNOTWEED de otros días cero, tenemos una confianza razonable de que Adobe Reader RCE es un exploit de día cero. El exploit de Windows fue analizado por MSRC, se encontró que era un exploit de 0 días y luego se parcheó como CVE-2022-22047 en julio de 2022. Curiosamente, había indicios en el código de explotación de Windows de que también estaba diseñado para usar navegadores basados ​​en Chromium, aunque no vimos evidencia de ataques basados ​​en navegador. La vulnerabilidad CVE-2022-22047 se relaciona con un problema con el almacenamiento en caché de los contextos de activación en el subsistema de tiempo de ejecución del servidor del cliente (CSRSS) en Windows. En un nivel alto, la vulnerabilidad podría permitir que un atacante proporcione un manifiesto de ensamblado manipulado que crearía un contexto de activación malicioso en la memoria caché del contexto de activación para cualquier proceso. Este contexto almacenado en caché se utilizará la próxima vez que se inicie el proceso. CVE-2022-22047 se utilizó en ataques de escalada de privilegios relacionados con KNOTWEED. La vulnerabilidad también brindaba la capacidad de salir de los entornos limitados (con algunas limitaciones, como se detalla a continuación) y lograr la ejecución del código a nivel del sistema. La cadena de explotación comienza escribiendo una DLL maliciosa en el disco desde el proceso de renderizado de Adobe Reader en la zona de pruebas. Luego, se usó el exploit CVE-2022-22047 para apuntar a un proceso del sistema proporcionando un manifiesto de aplicación con un atributo no documentado que indica la ruta de la DLL maliciosa. Luego, la próxima vez que se inició el proceso del sistema, el atributo se usó en el contexto de activación maliciosa, la DLL maliciosa se cargó desde la ruta especificada y se logró la ejecución del código a nivel del sistema.

La publicación del miércoles también proporciona indicadores detallados de compromisos que los lectores pueden usar para determinar si han sido atacados por DSIRF. Microsoft usó el término PSOA, abreviatura de Actor ofensivo del sector privado, para describir a los mercenarios cibernéticos como DSIRF. La compañía dijo que la mayoría de las PSOA operan en uno o ambos modelos. El primero, Access-as-a-Service, vende herramientas de hacking completas e integrales a los clientes para que las utilicen en sus propias operaciones. En el otro modelo, hack-for-hire, la PSOA realiza las operaciones específicas por sí misma. «Según los ataques observados y los informes de noticias, MSTIC cree que KNOTWEED podría combinar estos modelos: venden el malware Subzero a terceros, pero también se ha observado que utilizan la infraestructura asociada a KNOTWEED en algunos ataques, lo que sugiere una participación más directa», escribieron los investigadores de Microsoft. .

Deja una respuesta

Tu dirección de correo electrónico no será publicada.