关键要点
-
KNOTWEED 是由 PSOA 实体 DSIRF 资助的活动组织。
-
KNOTWEED 使用 0day 漏洞将自定义恶意软件和框架加载到受害者系统中。
-
Elastic Endpoint Security 可阻止 VBA 执行链,防止与 KNOTWEED 相关的间谍软件感染主机。
摘要
2022 年 7 月 27 日,微软威胁情报中心 (MSTIC) 披露了一个私营部门进攻性行为者 (PSOA),该行为者正在针对欧洲和中美洲的受害者进行有针对性的攻击,并利用 0day 漏洞。MSTIC 和其他机构正在将此活动组织追踪为 KNOTWEED。
PSOA 出售黑客工具、恶意软件、漏洞利用程序和服务。KNOTWEED 由名为 DSIRF 的 PSOA 组织生产。DSIRF 与恶意工具集(以及其他工具集)的销售有关,该工具集称为 Subzero,据观察,该工具集是通过针对 Adobe 和 Windows 操作系统的 0day 漏洞进行部署的。
MSTIC 已经观察到欧洲和拉丁美洲的法律、金融和非政府组织行业的受害者。
评估
风险
KNOTWEED 利用 Adobe Reader 和 Windows 操作系统的 0day 漏洞部署 Subzero 间谍软件。获得初始访问权限后,KNOTWEED 使用 Subzero 的不同部分来维持持久性 (Jumplump) 并对受感染的主机执行操作 (Corelump)。
Subzero 间谍软件成功执行后,可以秘密收集敏感信息,例如凭据对、系统位置、内部侦察以及间谍软件中常见的其他远程访问功能。
影响
活动组织通常使用 PSOA 作为一种方法来“跨越”利用和攻击防御良好的目标的能力。这些活动组织包括执行经批准行动的国家情报和执法机构,以及作为一种收集记者、政治异议人士和活动家信息的方式的压制性政府。
Subzero 间谍软件有效载荷成功执行可能会使目标面临来自非执法组织的肢体伤害或迫害的危险。
应对措施
Elastic 保护措施
尝试使用 Visual Basic for Applications (VBA) 脚本进行初始执行会生成 **内存威胁防护警报:Shellcode 注入** 事件。这将阻止执行链继续执行,并防止 Subzero 间谍软件感染主机。
在撰写本文时,MSTIC 提供的四个指标被 Elastic 恶意软件评分模型检测为恶意软件。这四个文件用于初始执行(VBA)、凭据窃取(PassLib)、模块化黑客工具(Mex)和主要恶意软件(Corelump)。未检测到的指标是持久性加载程序 (Jumplump) 的变体。
虽然持久性加载程序未被检测为恶意软件,但 VBA 的初始执行阻止阻止了恶意软件进入感染的持久性阶段。
所有文件均已被标记为恶意软件,并将反映在下一个恶意软件模型中。
Elastic 检测
以下现有的公共检测规则可以识别 JumpLump 恶意软件使用 的主要持久性方法和其他后期利用技术
狩猎查询
以下 EQL 查询可用于搜索与 JumpLump 相关的其他行为
Jumplump 丢弃的异常大的 JPEG
file where event.action != "deletion" and
process.executable : "?:\\Windows\\System32\\*.exe" and
file.path : "?:\\Users\\*\\AppData\\Local\\Temp\\*.jpg" and file.name regex """[0-9]{17}\.jpg""" and file.size >= 1000000打印机后台程序颜色目录中的图像加载或 PE 文件创建
any where event.category in ("file", "library") and (file.path : "?:\\Windows\\system32\\spool\\drivers\\color\\*.dll" or dll.path : "?:\\Windows\\system32\\spool\\drivers\\color\\*.dll")观察结果
虽然 Elastic telemetry 中没有客户观察结果,但这并不意外,因为该活动组织已被观察到针对特定受害者,并且攻击模式或入侵集似乎非常利基且不普遍。Elastic Security 将继续观察威胁行为者并相应地更新我们的读者。
术语
- **0day 漏洞** - 防御者之前未知的漏洞,并且没有公共补丁
- **活动组织** - 被认为具有恶意意图的个人、团体或组织
- **攻击模式** - 描述攻击者试图破坏目标的方式
- **入侵集** - 具有共同属性且据信由单个组织策划的对抗性行为和资源