48 3052-8500

Microsoft traz detalhes sobre o malware Subzero - OSTEC | Segurança digital de resultados

Geral 3min de Leitura - 09 de agosto de 2022

Microsoft traz detalhes sobre o malware Subzero

malware subzero

This post is also available in: Português

A Microsoft Threat Intelligence Center (MSTIC) identificou a ligação de um grupo malicioso conhecido como Knowtweed a um agente do setor privado chamado DSIRF. O grupo utiliza o conjunto de ferramentas de malware Subzero para atacar seus alvos, visando principalmente entidades da Europa e América Central.

Em seu site, a DSIRF se promove como uma empresa que fornece serviços de pesquisa de informações, forense e inteligência baseada em dados para corporações.

historia
Fonte: Web Archive.

No entanto, a companhia foi associada ao desenvolvimento do malware Subzero, que seus clientes podem usar para hackear telefones, computadores e dispositivos conectados à rede e a Internet dos alvos.

Em seu blog oficial, a Microsoft explicou todo o trabalho de investigação que vem fazendo sobre o grupo Knowtweed, e comenta as diversas ligações entre o DSIRF e as ferramentas maliciosas usadas nos ataques do grupo. Isso inclui, segundo a Microsoft, uma conta GitHub associada ao DSIRF sendo usada em um ataque, entre outros elementos.

Alguns ataques do Knowtweed observados pela Microsoft têm como alvo escritórios de advocacia, bancos e organizações de consultoria estratégica em todo o mundo, incluindo Áustria, Reino Unido e Panamá.

Segundo a Microsoft:

“Como parte de nossa investigação sobre a utilidade desse malware, as comunicações da Microsoft com uma vítima do Subzero revelaram que eles não haviam encomendado nenhum teste de equipe vermelha ou de penetração e confirmaram que era uma atividade maliciosa e não autorizada.”

Subzero explorando vulnerabilidades de dia zero

Em dispositivos comprometidos, os cibercriminosos implantaram o Corelump (uma carga útil que é executada na memória para evitar a detecção) e o Jumplump (carregador de malware altamente ofuscado que baixa e carrega o Corelump na memória).

A carga primária do Subzero tem muitos recursos, incluindo keylogging, captura de telas, exfiltração de dados e execução de shells remotos e plugins arbitrários baixados de seu servidor de comando e controle.

Nos sistemas em que o Knotweed implantou o Subzero, a Microsoft observou uma variedade de ações pós-comprometimento, incluindo:

  • Configuração de UseLogonCredential como “1” para habilitar credenciais de texto simples;
  • Despejo de credenciais via comsvcs.dll;
  • Tentativa de acessar e-mails com credenciais descarregadas de um endereço IP KNOTWEED;
  • Uso de Curl para baixar ferramentas KNOTWEED de compartilhamentos de arquivos públicos, como vultrobjects[.]com;
  • Execução de scripts do PowerShell diretamente de um GitHub criado por uma conta associada ao DSIRF;

Entre os dias zero usados nas campanhas do Knotweed, a Microsoft destaca o CVE-2022-22047, recentemente corrigido, que ajudou os cibercriminosos a aumentar privilégios, escapar de sandboxes e obter execução de código no nível do sistema.

Em 2021, a Knotweed também usou uma cadeia de exploração feita de duas explorações de escalonamento de privilégios do Windows (CVE-2021-31199 e CVE-2021-31201) em conjunto com uma exploração do Adobe Reader (CVE-2021-28550), todas corrigidas em junho de 2021.

Também no ano passado, o grupo de cibercriminosos foi vinculado à exploração de um quarto dia zero, uma falha de escalonamento de privilégios do Windows no Windows Update Medic Service (CVE-2021-36948) usada para forçar o serviço a carregar uma DLL assinada arbitrária.

Como se proteger?

Para de proteger desses ataques, a Microsoft aconselha os usuários a priorizar a correção da CVE-2022-22047; confirmar se o Microsoft Defender Antivírus está atualizado para a atualização de inteligência de segurança 1.371.503.0 ou posterior para detectar os indicadores relacionados, e usar os indicadores de comprometimento incluídos para investigar se eles existem em seu ambiente e avaliar possíveis invasões.

A empresa também recomenda que os usuários alterem as configurações de macro do Excel para controlar quais macros são executadas e em quais circunstancias abrem uma pasta de trabalho. Os clientes também podem interromper macros XLM ou VBA mal intencionadas, garantindo que a verificação de macros em tempo de execução pelo Antimalware Scan Interface (AMSI) esteja ativada.

Outra recomendação é habilitar a autenticação multifator (MFA) para mitigar credenciais potencialmente comprometidas e garantir que a MFA seja aplicada para toda a conectividade remota.

Além disso, os usuários devem revisar todas as atividades de autenticação da infraestrutura de acesso remoto, concentrando-se em contas configuradas com autenticação de fator único, para confirmar a autenticidade e investigar qualquer atividade anormal.

Fonte: Microsoft.

This post is also available in: Português

Estratégias para criar um SoC

Postagem anterior