Casus yazılımlara karşı mücadelesinde, Microsoft artık görünüşe ayak uydurmakla uğraşmıyor. Yayıncı dün yayınladı bir blog yazısı “Private Sector Offensive Actor” veya Fransızca’da özel sektörden kötü niyetli bir aktörün kısaltması olan “PSOA”nın eylemlerini kınamak. Şirket, grubu Knotweed olarak adlandırdı, ancak sadece bir kod adıyla sınırlı değil ve şirketin adını da yayınlıyor: DSIRF, web sitesinde çok uluslu şirketler için kırmızı ekip oluşturma ve durum tespiti sunan bir şirket olarak kendini sunan Avusturyalı bir şirket. teknoloji, finans, perakende ve enerji sektörleri.
Microsoft’un gözünde bu şirket, NSO veya Candiru gibi şirketler gibi “siber paralı askerler” tarafında sınıflandırılmayı tercih ederdi. Ancak ikincisinden farklı olarak, DSİRF müşterilerine kötü amaçlı yazılımları yeniden satmakla yetinmeyecek, aynı zamanda belirli hedeflere sızmakla da doğrudan ilgilenecektir.
Cephanelikte sıfır gün güvenlik açıkları
Microsoft, blogunda, Subzero adlı kötü amaçlı yazılımın kullanımını içeren 2021’den 2022’ye kadar uzanan birkaç saldırı tespit ettiğini belirtiyor. Bu, tespit riskini sınırlamak için yalnızca cihazın RAM’inde bulunan modüler kötü amaçlı yazılım biçiminde gelir. Microsoft, “KNOTWEED’in C2 sunucusundan indirilen keylogging, ekran görüntüleri, dosya sızdırma, uzaktan kabuk yürütme ve keyfi eklentilerin yürütülmesi gibi çeşitli özellikler içeriyor,” diye açıklıyor Microsoft.
Bu kötü amaçlı yazılımı hedeflenen cihazlarda başarılı bir şekilde yürütmek için Knotweed (veya DSIRF), Windows sistemlerine sızmak için çeşitli güvenlik açıkları kullandı. 2021’de Microsoft, Windows’ta iki ayrıcalık yükselmesi güvenlik açığı (CVE-2021-31199 ve CVE-2021-31201) ve Subzero yazılımıyla bir hedefe bulaşmak için birlikte kullanılan Adobe Reader’da (CVE-2021-28550) bir güvenlik açığı belirledi. Microsoft, bu çeşitli güvenlik açıklarının ekipleri tarafından Haziran 2021’de yayınlanan bir yamayla çözüldüğünü belirtiyor. 2022’de Knotweed yine de Windows’taki bir ayrıcalık yükseltme kusurundan (CVE -2022-22047) ve Adobe’deki başka bir kusurdan yararlanarak suçlamaya geri döndü. Microsoft’un resmi olarak tanımlayamadığı okuyucu.
İpucu Paketi
Diğer saldırılarda Microsoft, kullanıcı makroları etkinleştirirse Subzero kötü amaçlı yazılımını yükleyebilecek bubi tuzağına sahip Excel belgelerini de belirledi. Cihazlara kötü amaçlı yazılım bulaştıktan sonra, izinsiz girişin arkasındaki kötü niyetli kişiler, makinede kayıtlı şifreleri kurtarmaya ve olası oturum açma bilgilerini ve şifreleri içeren e-postalara erişmeye çalıştı.
Microsoft, güvenlik ekipleri ve RiskIQ şirketi tarafından toplanan bir dizi ipucuna dayanarak, saldırıların arkasındaki şirketi belirlemeyi başardı. Microsoft’un güvenlik ekibi tarafından analiz edilen saldırılardan birinde bir kontrol sunucusu tarafından kullanılan alan adına dayanarak RiskIQ, “SSL sertifikalarının ve diğer ağ izlerinin kullanımında yinelenen kalıplara” dayalı olarak aynı grup tarafından kullanılan birkaç IP adresini tanımlamayı başardı. analistler, Subzero kötü amaçlı yazılımının test edilmesi ve geliştirilmesi için DSIRF şirketi tarafından kullanılan birkaç alan adı bulmayı başardılar. Makalelerle eşleşen ipuçları‘Çevrimiçi İstihbarat, Çevrimiçi Odaklan ve Netzpolitik.de bu, DSIRF ile Subzero kötü amaçlı yazılımı arasında bir bağlantı olduğunu zaten bildirdi.