Un mercenario cibern\u00e9tico que “vende aparentemente servicios generales de seguridad y an\u00e1lisis de informaci\u00f3n a clientes comerciales” us\u00f3 varios exploits de d\u00eda cero de Windows y Adobe en ataques limitados y altamente dirigidos contra entidades europeas y centroamericanas.<\/p>\n
La empresa, que Microsoft describe como un actor ofensivo del sector privado (PSOA), es un equipo con sede en Austria llamado DSIRF<\/a> que est\u00e1 relacionado con el desarrollo y el intento de venta de una pieza de arma cibern\u00e9tica denominada Bajo cero<\/b>que se puede usar para piratear los tel\u00e9fonos, computadoras y dispositivos conectados a Internet de los objetivos.<\/p>\n \u201cLas v\u00edctimas observadas hasta la fecha incluyen firmas de abogados, bancos y consultor\u00edas estrat\u00e9gicas en pa\u00edses como Austria, Reino Unido y Panam\u00e1\u201d, se\u00f1alan los equipos de ciberseguridad del gigante tecnol\u00f3gico. dijo<\/a> en un informe del mi\u00e9rcoles.<\/p>\n Microsoft es seguimiento<\/a> el actor bajo el apodo KNOTWEED, continuando con su tendencia de nombrar a los PSOA usando nombres dados a \u00e1rboles y arbustos. La compa\u00f1\u00eda design\u00f3 previamente el nombre SOURGUM al proveedor israel\u00ed de spyware Candiru.<\/p>\n Se sabe que KNOTWEED incursiona tanto en operaciones de acceso como servicio como de pirater\u00eda inform\u00e1tica, ofreciendo su conjunto de herramientas a terceros y asoci\u00e1ndose directamente en ciertos ataques.<\/p>\n Mientras que el primero implica la venta de herramientas de pirater\u00eda de extremo a extremo que el comprador puede utilizar en sus propias operaciones sin la participaci\u00f3n del actor ofensivo, los grupos de pirater\u00eda a sueldo ejecutan las operaciones espec\u00edficas en nombre de sus clientes.<\/p>\n Se dice que la implementaci\u00f3n de Subzero ocurre a trav\u00e9s de la explotaci\u00f3n de m\u00faltiples problemas, incluida una cadena de explotaci\u00f3n que aprovecha una falla de ejecuci\u00f3n remota de c\u00f3digo (RCE) de Adobe Reader y un error de escalada de privilegios de d\u00eda cero (CVE-2022-22047), el \u00faltimo de que fue abordado por Microsoft como parte de sus actualizaciones del martes de parches de julio.<\/p>\n “CVE-2022-22047 se us\u00f3 en ataques relacionados con KNOTWEED para escalar privilegios. La vulnerabilidad tambi\u00e9n proporcion\u00f3 la capacidad de escapar de los entornos limitados y lograr la ejecuci\u00f3n de c\u00f3digo a nivel del sistema”, explic\u00f3 Microsoft.<\/p>\n Cadenas de ataques similares observadas en 2021 aprovecharon una combinaci\u00f3n de dos exploits de escalada de privilegios de Windows (CVE-2021-31199 y CVE-2021-31201) junto con una falla de Adobe Reader (CVE-2021-28550). Las tres vulnerabilidades se resolvieron en junio de 2021.<\/p>\n Posteriormente, la implementaci\u00f3n de Subzero se produjo a trav\u00e9s de un cuarto exploit, esta vez aprovechando una vulnerabilidad de escalada de privilegios en Windows Update Medic Service (CVE-2021-36948), que Microsoft cerr\u00f3 en agosto de 2021.<\/p>\n M\u00e1s all\u00e1 de estas cadenas de explotaci\u00f3n, los archivos de Excel que se hacen pasar por documentos inmobiliarios se han utilizado como conducto para entregar el malware, y los archivos contienen macros de Excel 4.0 dise\u00f1adas para iniciar el proceso de infecci\u00f3n.<\/p>\n Independientemente del m\u00e9todo empleado, las intrusiones culminan con la ejecuci\u00f3n de shellcode, que se utiliza para recuperar una carga \u00fatil de segunda etapa llamada Corelump desde un servidor remoto en forma de imagen JPEG que tambi\u00e9n incorpora un cargador llamado Jumplump que, a su vez, carga Corelump en la memoria.<\/p>\n El implante evasivo viene con una amplia gama de capacidades, incluido el registro de teclas, la captura de capturas de pantalla, la extracci\u00f3n de archivos, la ejecuci\u00f3n de un shell remoto y la ejecuci\u00f3n de complementos arbitrarios descargados del servidor remoto.<\/p>\n Durante los ataques tambi\u00e9n se implementaron utilidades a medida como Mex, una herramienta de l\u00ednea de comandos para ejecutar complementos de seguridad de c\u00f3digo abierto como Chisel, y PassLib, una herramienta para descargar credenciales de navegadores web, clientes de correo electr\u00f3nico y el administrador de credenciales de Windows.<\/p>\n Microsoft dijo que descubri\u00f3 KNOTWEED que sirve activamente malware desde febrero de 2020 a trav\u00e9s de la infraestructura alojada en DigitalOcean y Choopa, junto con la identificaci\u00f3n de subdominios que se utilizan para el desarrollo de malware, la depuraci\u00f3n de Mex y la preparaci\u00f3n de la carga \u00fatil de Subzero.<\/p>\n Tambi\u00e9n se han descubierto m\u00faltiples v\u00ednculos entre DSIRF y las herramientas maliciosas utilizadas en los ataques de KNOTWEED.<\/p>\n “Estos incluyen la infraestructura de comando y control utilizada por el malware que se vincula directamente a DSIRF, una cuenta de GitHub asociada a DSIRF que se usa en un ataque, un certificado de firma de c\u00f3digo emitido a DSIRF que se usa para firmar un exploit y otras noticias de c\u00f3digo abierto informes que atribuyen Subzero a DSIRF”, anot\u00f3 Redmond.<\/p>\n Subzero no es diferente del malware comercial como Pegasus, Predator, Hermit y DevilsTongue, que son capaces de infiltrarse en tel\u00e9fonos y m\u00e1quinas con Windows para controlar de forma remota los dispositivos y desviar datos, a veces sin necesidad de que el usuario haga clic en un enlace malicioso.<\/p>\n En todo caso, los \u00faltimos hallazgos destacan un mercado internacional floreciente para tecnolog\u00edas de vigilancia tan sofisticadas para llevar a cabo ataques dirigidos a miembros de la sociedad civil.<\/p>\n Si bien las empresas que venden spyware comercial anuncian sus productos como un medio para abordar delitos graves, la evidencia reunida hasta ahora ha encontrado varios casos de estas herramientas siendo mal utilizadas por gobiernos autoritarios y organizaciones privadas para espiar a defensores de los derechos humanos, periodistas, disidentes y pol\u00edticos.<\/p>\n El Grupo de An\u00e1lisis de Amenazas (TAG) de Google, que est\u00e1 rastreando a m\u00e1s de 30 proveedores que ofrecen exploits o capacidades de vigilancia a actores patrocinados por el estado, dijo que el ecosistema en auge subraya “hasta qu\u00e9 punto los proveedores de vigilancia comercial han proliferado las capacidades hist\u00f3ricamente solo utilizadas por los gobiernos”.<\/p>\n “Estos proveedores operan con una gran experiencia t\u00e9cnica para desarrollar y poner en funcionamiento exploits”, Shane Huntley de TAG. dijo<\/a> en un testimonio ante el Comit\u00e9 de Inteligencia de la C\u00e1mara de Representantes de EE. UU. el mi\u00e9rcoles, y agreg\u00f3 que “su uso est\u00e1 creciendo, impulsado por la demanda de los gobiernos”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n