-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Microsoft demaskuje austriacką grupę hackerską KNOTWEED. Oferują malware min. z 0dayami na Windows/Adobe reader.

01 sierpnia 2022, 12:58 | W biegu | 0 komentarzy

Microsoft wspomina, że firma ma niby oferować zwykłe (no dobra, nieco niezwykłe – bo zaawansowane) pentesty:

they provide services “to multinational corporations in the technology, retail, energy and financial sectors” and that they have “a set of highly sophisticated techniques in gathering and analyzing information.” They publicly offer several services including “an enhanced due diligence and risk analysis process through providing a deep understanding of individuals and entities” and “highly sophisticated Red Teams to challenge your company’s most critical assets.”

Ale jest oskarżana o dostarczanie pełnego malware:

However, multiple news reports have linked DSIRF to the development and attempted sale of a malware toolset called Subzero.

W każdym razie Microsoft wskazuje w ich działaniach na dwa exploity ~0day: wykonanie kodu w Adobe Readerze oraz eskalacja uprawnień do administratora w Windows. Czyli np.: ktoś otrzymuje e-mailem dokument w PDF-ie otwiera go i teraz: wykonuje się kod z uprawnieniami ofiary, a uprawnienia te podnoszone są (drugim exploitem) do administratora.

Na celowniku jak widać są firmy z Europy ale też zdarzyła się Panama (być może są też inne kraje):

Observed victims to date include law firms, banks, and strategic consultancies in countries such as Austria, the United Kingdom, and Panama. It’s important to note that the identification of targets in a country doesn’t necessarily mean that a DSIRF customer resides in the same country, as international targeting is common.

W wpisie znajdziecie sporo technicznych ciekawostek, w szczególności informację, że malware dociąga złośliwy kod (stage 2) z takiego pliku (hostowanego przez KNOTWEED) – kod znajduje się już po znaczniku końca pliku JPG (więc plik poprawnie się otwiera, ale zawiera w sobie złośliwy kod):

Wykorzystany mem, spokojnie, nie ma w nim oryginalnego złośliwego kodu

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz