Microsoft découvre une société autrichienne exploitant Windows et Adobe Zero-Day Exploits


Un cybermercenaire qui « vendait ostensiblement des services généraux de sécurité et d’analyse d’informations à des clients commerciaux » a utilisé plusieurs exploits Windows et Adobe zero-day dans des attaques limitées et très ciblées contre des entités européennes et d’Amérique centrale.

La société, que Microsoft décrit comme un acteur offensif du secteur privé (PSOA), est une société basée en Autriche appelée DSIRF qui est lié au développement et à la tentative de vente d’une pièce d’arme cybernétique appelée Sous zéroqui peut être utilisé pour pirater les téléphones, les ordinateurs et les appareils connectés à Internet des cibles.

« Les victimes observées à ce jour comprennent des cabinets d’avocats, des banques et des consultants stratégiques dans des pays tels que l’Autriche, le Royaume-Uni et le Panama », ont déclaré les équipes de cybersécurité du géant de la technologie. a dit dans un rapport de mercredi.

Microsoft est suivi l’acteur sous le nom de KNOTWEED, poursuivant sa tendance à nommer les PSOA en utilisant les noms donnés aux arbres et arbustes. La société avait précédemment désigné le nom SOURGUM pour le fournisseur israélien de logiciels espions Candiru.

KNOTWEED est connu pour se lancer à la fois dans des opérations d’accès en tant que service et de piratage pour compte d’autrui, offrant son ensemble d’outils à des tiers et s’associant directement à certaines attaques.

La cyber-sécurité

Alors que le premier implique la vente d’outils de piratage de bout en bout qui peuvent être utilisés par l’acheteur dans ses propres opérations sans l’implication de l’acteur offensif, les groupes de hack-for-hire gèrent les opérations ciblées pour le compte de leurs clients.

On dit que le déploiement de Subzero se produit par l’exploitation de plusieurs problèmes, y compris une chaîne d’exploitation qui exploite une faille d’exécution de code à distance (RCE) d’Adobe Reader et un bogue d’escalade de privilèges de zéro jour (CVE-2022-22047), ce dernier d’entre eux. qui a été abordé par Microsoft dans le cadre de ses mises à jour du Patch Tuesday de juillet.

« CVE-2022-22047 a été utilisé dans les attaques liées à KNOTWEED pour l’élévation des privilèges. La vulnérabilité a également permis d’échapper aux bacs à sable et d’exécuter du code au niveau du système », a expliqué Microsoft.

Des chaînes d’attaques similaires observées en 2021 ont exploité une combinaison de deux exploits d’escalade de privilèges Windows (CVE-2021-31199 et CVE-2021-31201) en conjonction avec une faille Adobe Reader (CVE-2021-28550). Les trois vulnérabilités ont été résolues en juin 2021.

Le déploiement de Subzero s’est ensuite produit via un quatrième exploit, cette fois en profitant d’une vulnérabilité d’escalade de privilèges dans le service Windows Update Medic (CVE-2021-36948), qui a été fermé par Microsoft en août 2021.

Au-delà de ces chaînes d’exploitation, des fichiers Excel se faisant passer pour des documents immobiliers ont été utilisés comme conduit pour diffuser le logiciel malveillant, les fichiers contenant des macros Excel 4.0 conçues pour lancer le processus d’infection.

Quelle que soit la méthode employée, les intrusions aboutissent à l’exécution d’un shellcode, qui est utilisé pour récupérer une charge utile de deuxième étape appelée Corelump à partir d’un serveur distant sous la forme d’une image JPEG qui embarque également un chargeur nommé Jumplump qui, à son tour, charge Corelump en mémoire.

L’implant évasif est livré avec un large éventail de fonctionnalités, notamment l’enregistrement de frappe, la capture de captures d’écran, l’exfiltration de fichiers, l’exécution d’un shell distant et l’exécution de plug-ins arbitraires téléchargés à partir du serveur distant.

Des utilitaires sur mesure comme Mex, un outil de ligne de commande pour exécuter des plugins de sécurité open source comme Chisel, et PassLib, un outil pour vider les informations d’identification des navigateurs Web, des clients de messagerie et du gestionnaire d’informations d’identification Windows, ont également été déployés pendant les attaques.

Microsoft a déclaré avoir découvert que KNOTWEED servait activement des logiciels malveillants depuis février 2020 via une infrastructure hébergée sur DigitalOcean et Choopa, en plus d’identifier les sous-domaines utilisés pour le développement de logiciels malveillants, le débogage de Mex et la mise en scène de la charge utile Subzero.

La cyber-sécurité

De multiples liens ont également été découverts entre DSIRF et les outils malveillants utilisés dans les attaques de KNOTWEED.

« Il s’agit notamment de l’infrastructure de commande et de contrôle utilisée par le logiciel malveillant directement lié à DSIRF, d’un compte GitHub associé à DSIRF utilisé dans une attaque, d’un certificat de signature de code délivré à DSIRF utilisé pour signer un exploit, et d’autres nouvelles open source rapports attribuant Subzero au DSIRF », a noté Redmond.

Subzero n’est pas différent des logiciels malveillants standard tels que Pegasus, Predator, Hermit et DevilsTongue, qui sont capables d’infiltrer les téléphones et les machines Windows pour contrôler à distance les appareils et siphonner les données, parfois sans obliger l’utilisateur à cliquer sur un lien malveillant.

Au contraire, les dernières découvertes mettent en évidence un marché international en plein essor pour ces technologies de surveillance sophistiquées permettant de mener des attaques ciblées contre des membres de la société civile.

Bien que les entreprises qui vendent des logiciels espions commerciaux annoncent leurs produits comme un moyen de lutter contre les crimes graves, les preuves recueillies jusqu’à présent ont révélé plusieurs cas d’utilisation abusive de ces outils par des gouvernements autoritaires et des organisations privées pour espionner les défenseurs des droits de l’homme, les journalistes, les dissidents et les politiciens.

Le Threat Analysis Group (TAG) de Google, qui suit plus de 30 fournisseurs qui proposent des exploits ou des capacités de surveillance à des acteurs parrainés par l’État, a déclaré que l’écosystème en plein essor souligne « la mesure dans laquelle les fournisseurs commerciaux de surveillance ont proliféré des capacités historiquement utilisées uniquement par les gouvernements ».

« Ces fournisseurs disposent d’une expertise technique approfondie pour développer et opérationnaliser des exploits », a déclaré Shane Huntley de TAG. a dit dans un témoignage devant le US House Intelligence Committee mercredi, ajoutant que « son utilisation est en croissance, alimentée par la demande des gouvernements ».



ttn-fr-57