Home IT Sicherheits Updates Microsoft deckt österreichisches Unternehmen auf, das Windows- und Adobe-Zero-Day-Exploits ausnutzt

Microsoft deckt österreichisches Unternehmen auf, das Windows- und Adobe-Zero-Day-Exploits ausnutzt

by nwna_de

Ein Cyber-Söldner, der „angeblich allgemeine Sicherheits- und Informationsanalysedienste an gewerbliche Kunden verkauft“, nutzte mehrere Windows- und Adobe-Zero-Day-Exploits in begrenzten und sehr gezielten Angriffen gegen europäische und zentralamerikanische Unternehmen.

Das Unternehmen, das Microsoft als Private-Sector-Offensive-Actor (PSOA) bezeichnet, ist ein in Österreich ansässiges Unternehmen namens DSIRF das ist mit der Entwicklung und dem versuchten Verkauf einer Cyberwaffe verbunden, die als bezeichnet wird Unter Nulldie verwendet werden kann, um Telefone, Computer und mit dem Internet verbundene Geräte von Zielen zu hacken.

„Zu den bisher beobachteten Opfern gehören Anwaltskanzleien, Banken und strategische Beratungsunternehmen in Ländern wie Österreich, Großbritannien und Panama“, so die Cybersicherheitsteams des Technologieriesen sagte in einem Mittwochsbericht.

Microsoft ist Verfolgung der Schauspieler unter dem Spitznamen KNOTWEED und setzt seinen Trend fort, PSOAs nach Namen von Bäumen und Sträuchern zu benennen. Das Unternehmen gab dem israelischen Spyware-Anbieter Candiru zuvor den Namen SOURGUM.

KNOTWEED ist dafür bekannt, dass es sich sowohl an Access-as-a-Service- als auch an Hack-for-Hire-Operationen versucht, sein Toolset Dritten anbietet und sich selbst direkt an bestimmten Angriffen beteiligt.

Internet-Sicherheit

Während Ersteres den Verkauf von End-to-End-Hacking-Tools beinhaltet, die vom Käufer in seinem eigenen Betrieb ohne Beteiligung des Akteurs verwendet werden können, führen Hack-for-Hire-Gruppen die gezielten Operationen im Auftrag ihrer Kunden durch.

Der Einsatz von Subzero soll durch die Ausnutzung mehrerer Probleme erfolgen, darunter eine Exploit-Kette, die einen Adobe Reader-Remote Code Execution (RCE)-Fehler und einen Zero-Day-Privilege-Escalation-Bug (CVE-2022-22047), letzteres, nutzt das von Microsoft im Rahmen seiner Juli-Patchday-Updates behoben wurde.

„CVE-2022-22047 wurde in KNOTWEED-bezogenen Angriffen zur Rechteausweitung verwendet. Die Schwachstelle bot auch die Möglichkeit, Sandboxes zu verlassen und Codeausführung auf Systemebene zu erreichen“, erklärte Microsoft.

Ähnliche Angriffsketten, die im Jahr 2021 beobachtet wurden, nutzten eine Kombination aus zwei Exploits zur Eskalation von Windows-Privilegien (CVE-2021-31199 und CVE-2021-31201) in Verbindung mit einem Adobe Reader-Fehler (CVE-2021-28550). Die drei Schwachstellen wurden im Juni 2021 behoben.

Die Bereitstellung von Subzero erfolgte anschließend durch einen vierten Exploit, diesmal unter Ausnutzung einer Sicherheitsanfälligkeit durch Rechteausweitung im Windows Update Medic Service (CVE-2021-36948), die von Microsoft im August 2021 geschlossen wurde.

Über diese Exploit-Ketten hinaus wurden Excel-Dateien, die sich als Immobiliendokumente tarnen, als Kanal zur Übertragung der Malware verwendet, wobei die Dateien Excel 4.0-Makros enthalten, die den Infektionsprozess in Gang bringen sollen.

Unabhängig von der verwendeten Methode gipfeln die Einbrüche in der Ausführung von Shellcode, der verwendet wird, um eine Payload der zweiten Stufe namens Corelump von einem Remote-Server in Form eines JPEG-Bildes abzurufen, das auch einen Loader namens Jumplump einbettet, der wiederum lädt den Corelump in den Speicher.

Das ausweichende Implantat verfügt über eine Vielzahl von Funktionen, darunter Keylogging, das Erfassen von Screenshots, das Exfiltrieren von Dateien, das Ausführen einer Remote-Shell und das Ausführen beliebiger Plugins, die vom Remote-Server heruntergeladen wurden.

Während der Angriffe wurden auch maßgeschneiderte Dienstprogramme wie Mex, ein Befehlszeilentool zum Ausführen von Open-Source-Sicherheits-Plugins wie Chisel, und PassLib, ein Tool zum Sichern von Anmeldeinformationen von Browsern, E-Mail-Clients und dem Windows-Anmeldeinformationsmanager, eingesetzt.

Microsoft sagte, es habe KNOTWEED aufgedeckt, das seit Februar 2020 aktiv Malware über die auf DigitalOcean und Choopa gehostete Infrastruktur bereitstellt, neben der Identifizierung von Subdomains, die für die Malware-Entwicklung, das Debuggen von Mex und das Staging der Subzero-Nutzlast verwendet werden.

Internet-Sicherheit

Es wurden auch mehrere Verbindungen zwischen DSIRF und den bösartigen Tools entdeckt, die bei den Angriffen von KNOTWEED verwendet werden.

„Dazu gehören die Command-and-Control-Infrastruktur, die von der Malware verwendet wird und direkt mit DSIRF verknüpft ist, ein DSIRF-assoziiertes GitHub-Konto, das bei einem Angriff verwendet wird, ein an DSIRF ausgestelltes Codesignaturzertifikat, das zum Signieren eines Exploits verwendet wird, und andere Open-Source-Nachrichten Berichte, in denen Subzero DSIRF zugeschrieben wird”, bemerkte Redmond.

Subzero unterscheidet sich nicht von handelsüblicher Malware wie Pegasus, Predator, Hermit und DevilsTongue, die in der Lage sind, Telefone und Windows-Computer zu infiltrieren, um die Geräte fernzusteuern und Daten abzuschöpfen, manchmal ohne dass der Benutzer auf eine klicken muss böswilliger Link.

Wenn überhaupt, weisen die neuesten Erkenntnisse auf einen wachsenden internationalen Markt für solche ausgeklügelten Überwachungstechnologien hin, um gezielte Angriffe auf Mitglieder der Zivilgesellschaft durchzuführen.

Obwohl Unternehmen, die kommerzielle Spyware verkaufen, ihre Waren als Mittel zur Bekämpfung schwerer Verbrechen bewerben, haben die bisher gesammelten Beweise mehrere Fälle ergeben, in denen diese Tools von autoritären Regierungen und privaten Organisationen missbraucht wurden, um Menschenrechtsaktivisten, Journalisten, Dissidenten und Politiker auszuspionieren.

Die Threat Analysis Group (TAG) von Google, die über 30 Anbieter verfolgt, die Exploits oder Überwachungsfähigkeiten an staatlich geförderte Akteure verkaufen, sagte, das boomende Ökosystem unterstreiche „das Ausmaß, in dem kommerzielle Überwachungsanbieter Fähigkeiten verbreitet haben, die historisch nur von Regierungen genutzt wurden“.

„Diese Anbieter verfügen über umfassendes technisches Know-how, um Exploits zu entwickeln und zu operationalisieren“, so Shane Huntley von TAG sagte in einer Zeugenaussage vor dem Geheimdienstausschuss des US-Repräsentantenhauses am Mittwoch und fügte hinzu: „Seine Verwendung nimmt zu, angeheizt durch die Nachfrage der Regierungen.“

Via HN