Microsoft: KNOTWEED e DSIRF dietro lo sfruttamento di diverse falle 0-day. Cosa sapere e come proteggersi

Il Microsoft Threat Intelligence Center (MSTIC) e il Microsoft Security Response Center (MSRC) hanno scoperto una connessione fra l'attore malevolo KNOTWEED e DSIRF, gruppi che hanno utilizzato diversi exploit su Windows e software Adobe in attacchi mirati verso consumatori e organizzazioni europee e latinoamericane. Il malware utilizzato in questi attacchi è stato tracciato dagli esperti come Subzero.

Il team ha collegato KNOTWEED al fornitore di spyware austriaco DSIRF, che si promuove ufficialmente come una società che fornisce servizi di ricerca di informazioni, analisi forense e intelligence basata sui dati alle aziende. Secondo Microsoft, però, DSIRF è il team alla base di molti dei tool usati dal malware Subzero, che i partner possono utilizzare per accedere illegalmente a telefoni, computer e dispositivi di rete e connessi a Internet. Secondo i dati analizzati dalla società di intelligence sulle minacce RiskIQ, inoltre, anche l'infrastruttura utilizzata da febbraio 2020 per la distribuzione del malware è collegata a DSIRF, così come anche il sito ufficiale e i domini utilizzati per il debug e la distribuzione del malware.

KNOTWEED e DSIRF: da febbraio 2020 attaccate organizzazioni europee e latinoamericane

"Fra questi l'infrastruttura command-and-control utilizzata dal malware che si collega direttamente a DSIRF, un account GitHub associato a DSIRF utilizzato in un attacco, un certificato di firma del codice rilasciato a DSIRF utilizzato per firmare un exploit e altri report open-source segnalano un collegamento fra Subzero a DSIRF", si legge nel lungo report redatto da Microsoft. Alcuni attacchi di KNOTWEED osservati dall'azienda hanno preso di mira studi legali, banche e organizzazioni di consulenza strategica in tutto il mondo, tra cui Austria, Regno Unito e Panama.

Ma quali sono i pericoli di Subzero sui sistemi delle vittime? Una volta distribuito il payload, il malware si suddivide in due elementi: Corelump, che include il payload vero e proprio, e Jumplump. Può essere caricato anche all'interno di apparentemente innocui file JPG o Excel, ed è capace di diverse operazioni: può tenere traccia di tutti i tasti digitati dagli utenti con la funzione di keylogging, può scattare screenshot, esfiltrare dati ed eseguire comandi da remoto o plugin arbitrari scaricati attraverso il server command-and-control. Sui sistemi osservati da Microsoft sono state rilevate operazioni come l'abilitazione della visualizzazione delle credenziali di accesso in chiaro, il dumping delle stesse credenziali attraverso il processo comsvcs.dll, il tentativo di accedere alle e-mail con credenziali scaricate da un indirizzo IP del gruppo malevolo, tentativi di download di strumenti malevoli di KNOTWEED via Curl e anche tentativi di esecuzione di script PowerShell direttamente da account GitHub associati a DSIRF.

Tra gli zero-day utilizzati nelle campagne malware Microsoft sottolinea la presenza della vulnerabilità contrassegnata come CVE-2022-22047, che è stata corretta di recente. La falla 0-day ha consentito agli aggressori di scalare i privilegi, aggirare le sandbox e ottenere l'abilità di eseguire codice a livello di sistema. Lo scorso anno KNOTWEED ha anche sfruttato due exploit di escalation di privilegi su Windows (CVE-2021-31199 e CVE-2021-31201) insieme a un exploit di Adobe Reader (CVE-2021-28550), tutti corretti a giugno 2021. Lo scorso anno il gruppo è riuscito inoltre a sfruttare una ulteriore falla dello stesso tipo, presente nel servizio Windows Update Medic (CVE-2021-36948).

Microsoft raccomanda di prestare attenzione a sei punti fondamentali per proteggersi dagli attacchi del gruppo, che traduciamo di seguito:

• Dare massima priorità all'applicazione della patch di CVE-2022-22047.
• Verificare che Microsoft Defender Antivirus sia aggiornato all'aggiornamento di sicurezza 1.371.503.0 o successivi
• Verificare tutti gli Indicators of compromise (IOCs) riportati nel post ufficiale di Microsoft per individuare l'eventuale minaccia subita
• Modificare le impostazioni di protezione delle macro di Excel per controllare quali macro vengono eseguite e in quali circostanze quando si apre una cartella di lavoro. E' inoltre possibile bloccare le macro XLM o VBA dannose assicurandosi che sia attiva la scansione delle macro tramite Antimalware Scan Interface (AMSI).
• Abilitare l'autenticazione a più fattori (MFA) su tutti i servizi con accesso a internet. Microsoft consiglia inoltre l'uso di soluzioni passwordless, come Microsoft Authenticator.
• Analizzare tutte le attività di autenticazione di accesso remoto, con particolare attenzione agli account configurati con autenticazione a fattore singolo, per confermarne l'autenticità e indagare su eventuali attività anomale.

-3%

Xbox Series X

499.99 484.99€ Compra ora

-18%

Lenovo IdeaPad Gaming 3 Notebook, Display 15.6" FHD, Processore AMD Ryzen 5 5600H, NVIDIA GeForce RTX 3060, 512 GB SSD, RAM 8 GB, Windows 11, Tastiera retroilluminata bianca - Shadow Black

1085.00 889.16€ Compra ora

-18%

Apple PC Portatile MacBook Pro 2022 con chip M2: display Retina 13", 8GB di RAM, 512GB

1859.00€ Compra ora

Idee regalo, perché perdere tempo e rischiare di sbagliare?
REGALA UN BUONO AMAZON!