Microsoft, Knotweed olarak takip ettiği bir tehdit grubunu, Subzero adlı bir kötü amaçlı yazılım araç seti kullanarak Avrupa ve Orta Amerika varlıklarını hedef alan DSIRF adlı bir siber paralı asker (diğer adıyla özel sektör saldırgan aktörü) ile ilişkilendirdi.
DSİRF, web sitesinde, kurumlara bilgi araştırması, adli tıp ve veriye dayalı istihbarat hizmetleri sağlayan bir şirket olarak kendini tanıtmaktadır.
Ancak, müşterilerinin hedef telefonlarını, bilgisayarlarını, ağ ve internet bağlantılı cihazlarını hacklemek için kullanabilecekleri Subzero kötü amaçlı yazılımının geliştirilmesiyle bağlantılı.
Knotweed saldırılarını araştırırken pasif DNS verilerini kullanan tehdit istihbarat firması RiskIQ ayrıca, Şubat 2020’den bu yana aktif olarak kötü amaçlı yazılımlara hizmet veren altyapının, resmi web sitesi ve muhtemelen Subzero kötü amaçlı yazılımını hata ayıklamak ve aşamalandırmak için kullanılan etki alanları da dahil olmak üzere DSIRF ile bağlantılı olduğunu buldu.
Microsoft Tehdit İstihbarat Merkezi (MSTIC), DSIRF ile Knotweed saldırılarında kullanılan kötü amaçlı araçlar arasında birden çok bağlantı buldu.
Bunlar, doğrudan DSIRF’e bağlanan kötü amaçlı yazılım tarafından kullanılan komut ve kontrol altyapısını, bir saldırıda kullanılan DSIRF ile ilişkili bir GitHub hesabı, bir istismarı imzalamak için kullanılan DSIRF’e verilen bir kod imzalama sertifikasını ve diğer açık kaynaklı haberleri içerir. Subzero’yu DSIRF’e bağlayan raporlar,” dedi Microsoft.
Microsoft tarafından gözlemlenen bazı Knotweed saldırıları, Avusturya, Birleşik Krallık ve Panama dahil olmak üzere dünya çapındaki hukuk firmalarını, bankaları ve stratejik danışmanlık kuruluşlarını hedef almıştır.
Microsoft, “Bu kötü amaçlı yazılımın kullanımına ilişkin araştırmamızın bir parçası olarak, Microsoft’un bir Subzero kurbanıyla iletişimleri, herhangi bir kırmızı ekip oluşturma veya sızma testi yaptırmadıklarını ortaya çıkardı ve bunun yetkisiz, kötü niyetli etkinlik olduğunu doğruladı.”
“Bugüne kadar gözlemlenen kurbanlar arasında Avusturya, Birleşik Krallık ve Panama gibi ülkelerdeki hukuk firmaları, bankalar ve stratejik danışmanlık şirketleri yer alıyor.”
Sıfırın altındaki kötü amaçlı yazılımlar ve sıfır gün açıkları
Saldırganlar, güvenliği ihlal edilmiş cihazlarda, bellekten algılamadan kaçmak için çalışan birincil yük olan Corelump’u ve Corelump’u indirip belleğe yükleyen, oldukça karmaşık bir kötü amaçlı yazılım yükleyicisi olan Jumplump’ı dağıttı.
Birincil Subzero yükü, tuş günlüğü tutma, ekran görüntüleri yakalama, verileri sızdırma ve komut ve kontrol sunucusundan indirilen uzak kabukları ve isteğe bağlı eklentileri çalıştırma dahil olmak üzere birçok yeteneğe sahiptir.
Knotweed’in kötü amaçlı yazılımını dağıttığı sistemlerde Microsoft, aşağıdakiler de dahil olmak üzere çeşitli güvenlik ihlali sonrası eylemleri gözlemledi:
- Düz metin kimlik bilgilerini etkinleştirmek için UseLogonCredential öğesinin “1” olarak ayarlanması
- comsvcs.dll aracılığıyla kimlik bilgileri dökümü
- Bir KNOTWEED IP adresinden atılan kimlik bilgilerine sahip e-postalara erişmeye çalışın
- Vultrobjects gibi genel dosya paylaşımlarından KNOTWEED araçlarını indirmek için Curl kullanma[.]com
- PowerShell komut dosyalarını doğrudan DSIRF ile ilişkili bir hesap tarafından oluşturulan bir GitHub özünden çalıştırma
Microsoft, Knotweed kampanyalarında kullanılan sıfır günler arasında, saldırganların ayrıcalıkları yükseltmesine, korumalı alanlardan kaçmasına ve sistem düzeyinde kod yürütme elde etmesine yardımcı olan yakın zamanda yamalı CVE-2022-22047’yi vurgular.
Geçen yıl, Knotweed aynı zamanda iki Windows ayrıcalık yükseltme istismarından (CVE-2021-31199 ve CVE-2021-31201) oluşan bir istismar zincirini bir Adobe Reader istismarı (CVE-2021-28550) ile birlikte kullandı ve hepsi Haziran’da yamalandı 2021.
2021’de siber paralı asker grubu, hizmeti rastgele imzalanmış bir DLL dosyasını yüklemeye zorlamak için kullanılan Windows Update Medic Service’teki (CVE-2021-36948) bir Windows ayrıcalık yükseltme kusuru olan dördüncü bir sıfırıncı günün istismarıyla da bağlantılıydı.
Bu tür saldırılara karşı savunmak için Microsoft, müşterilere şunları tavsiye eder:
- CVE-2022-22047 yamasına öncelik verin.
- Microsoft Defender Antivirus’ün güvenlik zekası güncellemesine güncellendiğini doğrulayın 1.371.503.0 veya daha sonra ilgili göstergeleri tespit etmek için.
- Ortamınızda bulunup bulunmadığını araştırmak ve olası izinsiz girişleri değerlendirmek için dahil edilen uzlaşma göstergelerini kullanın.
- Bir çalışma kitabını açtığınızda hangi makroların ve hangi koşullar altında çalıştığını denetlemek için Excel makro güvenlik ayarlarını değiştirin. Müşteriler, Kötü Amaçlı Yazılımdan Koruma Arayüzü (AMSI) tarafından çalışma zamanı makro taramasının açık olduğundan emin olarak kötü amaçlı XLM veya VBA makrolarını da durdurabilir.
- Güvenliği ihlal edilmiş olabilecek kimlik bilgilerini azaltmak için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin ve tüm uzaktan bağlantı için MFA’nın zorunlu kılındığından emin olun.
- Tek faktörlü kimlik doğrulama ile yapılandırılmış hesaplara odaklanarak, orijinalliği doğrulamak ve herhangi bir anormal etkinliği araştırmak için uzaktan erişim altyapısı için tüm kimlik doğrulama etkinliğini gözden geçirin.
Microsoft’un Dijital Güvenlik Birimi Genel Müdürü Cristin Goodwin, “Bu saldırıları sınırlamak için, güvenlik açıklarının kullanımını azaltmak için bir yazılım güncellemesi yayınladık ve Windows müşterilerini Knotweed’in kötü amaçlı yazılımını dağıtmaya yardımcı olmak için kullandığı istismarlardan koruyacak kötü amaçlı yazılım imzaları yayınladık” dedi.
Goodwin, “PSOA’ların araçlarını, insan hakları savunucularını, gazetecileri, muhalifleri ve sivil toplumla ilgili diğerlerini hedef almak için kullandıkları, hukukun üstünlüğü ve insan hakları normlarıyla tutarsız hareket eden otoriter hükümetlere sattığını giderek daha fazla görüyoruz.”