“Ticari müşterilere görünüşte genel güvenlik ve bilgi analizi hizmetleri satan” bir siber paralı asker, Avrupa ve Orta Amerika kuruluşlarına yönelik sınırlı ve yüksek hedefli saldırılarda birkaç Windows ve Adobe sıfır gün açıklarından yararlandı.
Microsoft’un özel sektör saldırgan aktörü (PSOA) olarak tanımladığı şirket, Avusturya merkezli bir kuruluştur. DSİRF olarak adlandırılan bir siber silah parçasının geliştirilmesi ve satılmaya çalışılmasıyla bağlantılıdır. alt sıfırhedeflerin telefonlarını, bilgisayarlarını ve internete bağlı cihazlarını kesmek için kullanılabilir.
Teknoloji devinin siber güvenlik ekipleri, “Bugüne kadar gözlemlenen kurbanlar arasında Avusturya, Birleşik Krallık ve Panama gibi ülkelerdeki hukuk firmaları, bankalar ve stratejik danışmanlık şirketleri yer alıyor.” söz konusu Çarşamba raporunda.
Microsoft izleme KNOTWEED takma adıyla aktör, ağaçlara ve çalılara verilen adları kullanarak PSOA’ları adlandırma eğilimini sürdürüyor. Şirket daha önce SOURGUM adını İsrailli casus yazılım satıcısı Candiru’ya atamıştı.
KNOTWEED’in hem hizmet olarak erişim hem de kiralık hack operasyonlarıyla uğraştığı, araç setini üçüncü taraflara sunduğu ve belirli saldırılarda kendisini doğrudan ilişkilendirdiği bilinmektedir.
İlki, saldırgan aktörün katılımı olmadan alıcı tarafından kendi operasyonlarında kullanılabilecek uçtan uca hackleme araçlarının satışını gerektirirken, kiralık hack grupları müşterileri adına hedeflenen operasyonları yürütür.
Subzero’nun dağıtımının, bir Adobe Reader uzaktan kod yürütme (RCE) kusurundan yararlanan bir istismar zinciri ve bir sıfır gün ayrıcalık yükseltme hatası (CVE-2022-22047) dahil olmak üzere birden çok sorunun istismarı yoluyla gerçekleştiği söyleniyor. Microsoft tarafından Temmuz Yaması Salı güncellemelerinin bir parçası olarak ele alındı.
Microsoft, “CVE-2022-22047, ayrıcalık yükseltme için KNOTWEED ile ilgili saldırılarda kullanıldı. Güvenlik açığı aynı zamanda sanal alanlardan kaçma ve sistem düzeyinde kod yürütme yeteneği sağladı.”
2021’de gözlemlenen benzer saldırı zincirleri, bir Adobe okuyucu hatası (CVE-2021-28550) ile birlikte iki Windows ayrıcalık yükseltme istismarının (CVE-2021-31199 ve CVE-2021-31201) birleşiminden yararlandı. Üç güvenlik açığı Haziran 2021’de çözüldü.
Subzero’nun dağıtımı, daha sonra, Microsoft tarafından Ağustos 2021’de kapatılan Windows Update Medic Service’teki (CVE-2021-36948) ayrıcalık yükseltme güvenlik açığından yararlanan dördüncü bir istismar yoluyla gerçekleşti.
Bu istismar zincirlerinin ötesinde, emlak belgeleri gibi görünen Excel dosyaları, bulaşma sürecini başlatmak için tasarlanmış Excel 4.0 makroları içeren dosyalarla kötü amaçlı yazılımın iletilmesi için bir kanal olarak kullanıldı.
Kullanılan yöntemden bağımsız olarak, izinsiz girişler, Corelump adlı ikinci aşamalı bir yükü uzak bir sunucudan bir JPEG görüntüsü biçiminde almak için kullanılan ve ayrıca Jumplump adlı bir yükleyiciyi de gömen kabuk kodunun yürütülmesiyle sonuçlanır. Corelump’u belleğe yükler.
Kaçınma implantı, tuş günlüğü tutma, ekran görüntülerini yakalama, dosyaları sızdırma, uzak bir kabuk çalıştırma ve uzak sunucudan indirilen keyfi eklentileri çalıştırma dahil olmak üzere çok çeşitli yeteneklerle birlikte gelir.
Ayrıca saldırılar sırasında, Chisel gibi açık kaynaklı güvenlik eklentilerini çalıştırmak için bir komut satırı aracı olan Mex ve web tarayıcılarından, e-posta istemcilerinden ve Windows kimlik bilgisi yöneticisinden kimlik bilgilerini boşaltmak için bir araç olan PassLib gibi ısmarlama yardımcı programlar da konuşlandırıldı.
Microsoft, DigitalOcean ve Choopa’da barındırılan altyapı aracılığıyla Şubat 2020’den bu yana aktif olarak kötü amaçlı yazılım sunan KNOTWEED’i, kötü amaçlı yazılım geliştirme, Mex’te hata ayıklama ve Subzero yükünü hazırlama için kullanılan alt etki alanlarını tanımlamanın yanı sıra ortaya çıkardığını söyledi.
DSIRF ile KNOTWEED’in saldırılarında kullanılan kötü niyetli araçlar arasında da birden fazla bağlantı ortaya çıkarıldı.
Bunlar, doğrudan DSIRF’e bağlanan kötü amaçlı yazılım tarafından kullanılan komut ve kontrol altyapısını, bir saldırıda kullanılan DSIRF ile ilişkili bir GitHub hesabı, bir istismarı imzalamak için kullanılan DSIRF’e verilen bir kod imzalama sertifikasını ve diğer açık kaynaklı haberleri içerir. Subzero’yu DSIRF’e bağlayan raporlar,” diye belirtti Redmond.
Subzero’nun Pegasus, Predator, Hermit ve DevilsTongue gibi telefonlara ve Windows makinelerine sızarak cihazları uzaktan kontrol edebilen ve bazen kullanıcının bir kötü niyetli bağlantı.
En son bulgular, sivil toplum üyelerine yönelik hedefli saldırılar gerçekleştirmek için bu tür karmaşık gözetim teknolojilerine yönelik gelişen uluslararası bir pazarın altını çiziyor.
Ticari casus yazılım satan şirketler, ciddi suçlarla mücadele için bir araç olarak mallarının reklamını yapsalar da, şimdiye kadar toplanan kanıtlar, bu araçların otoriter hükümetler ve özel kuruluşlar tarafından insan hakları savunucularını, gazetecileri, muhalifleri ve politikacıları gözetlemek için kötüye kullanıldığını ortaya çıkardı.
Devlet destekli aktörler için istismar veya gözetim yetenekleri kullanan 30’dan fazla tedarikçiyi izleyen Google’ın Tehdit Analizi Grubu (TAG), gelişen ekosistemin “ticari gözetim tedarikçilerinin tarihsel olarak yalnızca hükümetler tarafından kullanılan yeteneklerin ne kadar çoğaldığının” altını çizdiğini söyledi.
TAG’den Shane Huntley, “Bu satıcılar, açıklardan yararlanmaları geliştirmek ve operasyonel hale getirmek için derin bir teknik uzmanlıkla çalışıyor.” söz konusu Çarşamba günü ABD Temsilciler Meclisi İstihbarat Komitesi’ne verdiği bir ifadede, “hükümetlerden gelen taleple kullanımının arttığını” da sözlerine ekledi.