主要要点
-
KNOTWEED 是由 PSOA 实体 DSIRF 赞助的活动组织
-
KNOTWEED 使用 0-day 漏洞将自定义恶意软件和框架加载到受害者系统上
-
Elastic Endpoint Security 可防止 VBA 的执行链感染主机,使其感染与 KNOTWEED 相关的间谍软件
摘要
2022 年 7 月 27 日,微软威胁情报中心 (MSTIC) 披露 了一个私营部门攻击者 (PSOA),该攻击者在针对欧洲和中美洲受害者的有针对性攻击中使用 0-day 漏洞。MSTIC 和其他机构正在将此活动组织追踪为 KNOTWEED。
PSOA 出售黑客工具、恶意软件、漏洞利用和服务。KNOTWEED 由名为 DSIRF 的 PSOA 生产。DSIRF 与销售一种名为 Subzero 的恶意工具集有关(其中包括其他工具集),据观察,该工具集是通过使用针对 Adobe 和 Windows 操作系统的 0-day 漏洞部署的。
MSTIC 观察到欧洲和拉丁美洲的法律、金融和非政府组织垂直领域的受害者。
评估
风险
KNOTWEED 通过使用 Adobe Reader 和 Windows 操作系统的 0-day 漏洞来部署 Subzero 间谍软件。一旦获得初始访问权限,KNOTWEED 就会使用 Subzero 的不同部分来维持持久性 (Jumplump) 并在受感染的主机上执行操作 (Corelump)。
成功执行 Subzero 间谍软件允许秘密收集敏感信息,例如凭据对、系统位置、内部侦察以及间谍软件中常见的其他远程访问功能。
影响
活动组织通常使用 PSOA 作为一种“跳跃式”方式,在利用和攻击防御严密的目标方面获得能力。这些活动组织包括执行经批准行动的国家情报和执法机构,以及压迫性政府,以此作为收集记者、政治异见人士和活动家信息的一种方式。
成功执行 Subzero 间谍软件有效负载可能会使目标面临非执法组织造成的身体伤害或迫害的危险。
对策
Elastic 保护
尝试使用 Visual Basic for Applications (VBA) 脚本进行初始执行会生成内存威胁防护警报:Shellcode 注入事件。这将阻止执行链继续进行,并防止 Subzero 间谍软件感染主机。
截至撰写本文时,Elastic 恶意软件评分模型检测到 MSTIC 提供的 4 个指标为恶意。这 4 个文件用于初始执行 (VBA)、凭据盗窃 (PassLib)、模块化黑客工具 (Mex) 和主要恶意软件 (Corelump)。未检测到的指标是持久性加载程序 (Jumplump) 的变体。
虽然持久性加载程序未被检测为恶意,但 VBA 的初始执行阻止可阻止恶意软件进入感染的持久性阶段。
所有文件都已标记为恶意,并将反映在下一个恶意软件模型中。
Elastic 检测
以下现有的公共检测规则将识别 JumpLump 恶意软件使用的主要持久性方法和其他后期利用技术
狩猎查询
以下 EQL 查询可用于搜索与 JumpLump 相关的其他行为
Jumplump 丢弃的异常大的 JPEG
file where event.action != "deletion" and
process.executable : "?:\\Windows\\System32\\*.exe" and
file.path : "?:\\Users\\*\\AppData\\Local\\Temp\\*.jpg" and file.name regex """[0-9]{17}\.jpg""" and file.size >= 1000000打印后台处理程序颜色目录中的图像加载或 PE 文件创建
any where event.category in ("file", "library") and (file.path : "?:\\Windows\\system32\\spool\\drivers\\color\\*.dll" or dll.path : "?:\\Windows\\system32\\spool\\drivers\\color\\*.dll")观察
尽管在 Elastic 遥测中没有客户观察,但这并不意外,因为已观察到此活动组织针对特定受害者,并且攻击模式或入侵集似乎非常小众且不普遍。Elastic Security 将继续观察威胁行为者并相应地更新我们的读者。
术语
- 0-day 漏洞利用 - 防御者之前未知的漏洞,并且没有公共补丁
- 活动组织 - 被认为具有恶意意图的个人、团体或组织
- 攻击模式 - 描述攻击者尝试破坏目标的方式
- 入侵集 - 具有共同属性的对抗性行为和资源,被认为是由单个组织协调的