Windows, Adobe Zero-Day được sử dụng để tấn công người dùng Windows

Trung tâm Tình báo Đe dọa của Microsoft (MSTIC) và Trung tâm Ứng phó Bảo mật của Microsoft (MSRC) hôm thứ Tư tuyên bố rằng họ đã tìm thấy một kẻ tấn công khu vực tư nhân (PSOA) có trụ sở tại Áo đang khai thác nhiều lần khai thác Windows và Adobe 0 ngày trong “các cuộc tấn công có mục tiêu và hạn chế ”Đối với khách hàng châu Âu và Trung Mỹ.

Đối với những người không bị đảo ngược, PSOA là các công ty tư nhân sản xuất và bán vũ khí mạng trong các gói dịch vụ tấn công, thường cho các cơ quan chính phủ trên toàn thế giới, để xâm nhập vào máy tính, điện thoại, cơ sở hạ tầng mạng và các thiết bị khác của mục tiêu.

PSOA có trụ sở tại Áo có tên là DSIRF, được Microsoft đặt tên là Knotweed, có liên quan đến việc phát triển và cố gắng bán một bộ công cụ phần mềm độc hại có tên “Subzero”.

DSIRF tự quảng cáo trên trang web với tư cách là một công ty cung cấp “các dịch vụ phù hợp với sứ mệnh trong lĩnh vực nghiên cứu thông tin, pháp y cũng như trí tuệ theo hướng dữ liệu cho các tập đoàn đa quốc gia trong lĩnh vực công nghệ, bán lẻ, năng lượng và tài chính” và có “a tập hợp các kỹ thuật tinh vi cao trong việc thu thập và phân tích thông tin. ”

Gã khổng lồ Redmond cho biết DSIRF có trụ sở tại Áo thuộc nhóm lính đánh thuê mạng chuyên bán các công cụ hoặc dịch vụ hack thông qua nhiều mô hình kinh doanh khác nhau. Hai mô hình phổ biến cho loại diễn viên này là truy cập như một dịch vụ và hack-cho-thuê.

MSTIC phát hiện ra rằng phần mềm độc hại Subzero đang được lưu hành trên máy tính thông qua nhiều phương pháp khác nhau, bao gồm khai thác 0 ngày trong Windows và Adobe Reader, trong những năm 2021 và 2022.

Là một phần của cuộc điều tra về tiện ích của phần mềm độc hại này, thông tin liên lạc của Microsoft với một nạn nhân của Subzero tiết lộ rằng họ đã không cho phép bất kỳ thử nghiệm thâm nhập hoặc nhóm đỏ nào và xác nhận rằng đó là hoạt động độc hại, trái phép.

“Các nạn nhân được quan sát cho đến nay bao gồm các công ty luật, ngân hàng và cơ quan tư vấn chiến lược ở các quốc gia như Áo, Vương quốc Anh và Panama. Điều quan trọng cần lưu ý là việc xác định các mục tiêu ở một quốc gia không nhất thiết có nghĩa là khách hàng của DSIRF cư trú ở cùng một quốc gia, vì nhắm mục tiêu quốc tế là phổ biến, ”Microsoft viết trong một bài đăng trên blog chi tiết.

“MSTIC đã tìm thấy nhiều liên kết giữa DSIRF với các phần mềm khai thác và phần mềm độc hại được sử dụng trong các cuộc tấn công này. Chúng bao gồm cơ sở hạ tầng ra lệnh và kiểm soát được phần mềm độc hại liên kết trực tiếp đến DSIRF sử dụng, tài khoản GitHub liên kết với DSIRF đang được sử dụng trong một cuộc tấn công, chứng chỉ ký mã được cấp cho DSIRF được sử dụng để ký khai thác và các báo cáo tin tức nguồn mở khác gán Subzero cho DSIRF. ”

Vào tháng 5 năm 2022, Microsoft đã phát hiện thấy việc thực thi mã từ xa Adobe Reader (RCE) và chuỗi khai thác leo thang đặc quyền Windows 0 ngày đang được sử dụng trong một cuộc tấn công dẫn đến việc triển khai Subzero.

“Việc khai thác được đóng gói thành một tài liệu PDF được gửi cho nạn nhân qua email. Microsoft không thể có được phần PDF hoặc Adobe Reader RCE của chuỗi khai thác, nhưng phiên bản Adobe Reader của nạn nhân đã được phát hành vào tháng 1 năm 2022, có nghĩa là khai thác được sử dụng là khai thác 1 ngày được phát triển từ tháng 1 đến tháng 5 hoặc Khai thác 0 ngày, ”công ty giải thích.

Dựa trên việc sử dụng rộng rãi các không ngày bổ sung của DSIRF, Microsoft tin rằng Adobe Reader RCE thực sự là một khai thác không ngày. Khai thác Windows đã được MSRC phân tích, được phát hiện là khai thác 0 ngày và sau đó được vá vào tháng 7 năm 2022 với tên CVE-2022-22047 trong Hệ thống con thời gian chạy Windows Client / Server (csrss.exe).

Các khai thác của công ty Áo cũng đang được liên kết với hai khai thác leo thang đặc quyền trước đó của Windows (CVE-2021-31199 và CVE-2021-31201) được sử dụng cùng với khai thác Adobe Reader (CVE-2021-28550), tất cả đều đã được vá vào tháng 6 năm 2021.

Vào năm 2021, nhóm lính đánh thuê mạng cũng có liên quan đến việc khai thác zero-day thứ tư, một lỗ hổng leo thang đặc quyền của Windows trong Windows Update Medic Service (CVE-2021-36948), cho phép kẻ tấn công buộc dịch vụ tải một DLL đã ký tùy ý.

Để giảm thiểu các cuộc tấn công như vậy, Microsoft đã khuyến nghị khách hàng của mình:

• Ưu tiên vá CVE-2022-22047.
• Xác nhận rằng Microsoft Defender Antivirus được cập nhật lên bản cập nhật tình báo bảo mật 1.371.503.0 trở lên để phát hiện các chỉ báo liên quan.
• Sử dụng các chỉ số thỏa hiệp được bao gồm để điều tra xem chúng có tồn tại trong môi trường của bạn hay không và đánh giá khả năng xâm nhập.
• Thay đổi cài đặt bảo mật macro Excel để kiểm soát macro nào chạy và trong những trường hợp nào khi bạn mở sổ làm việc. Khách hàng cũng có thể dừng các macro XLM hoặc VBA độc hại bằng cách đảm bảo đã bật tính năng quét macro thời gian chạy bằng Giao diện quét phần mềm độc hại (AMSI).
• Bật xác thực đa yếu tố (MFA) để giảm thiểu thông tin xác thực có thể bị xâm phạm và đảm bảo rằng MFA được thực thi cho tất cả kết nối từ xa.
• Xem xét tất cả hoạt động xác thực cho cơ sở hạ tầng truy cập từ xa, tập trung vào các tài khoản được định cấu hình với xác thực một yếu tố, để xác nhận tính xác thực và điều tra bất kỳ hoạt động bất thường nào.

Bên cạnh việc sử dụng các phương tiện kỹ thuật để phá vỡ Knotweed, Microsoft cũng đã đệ trình lời khai bằng văn bản lên Ủy ban Lựa chọn Thường trực Hạ viện về Phiên điều trần Tình báo về “Chống lại các mối đe dọa đối với an ninh quốc gia Hoa Kỳ khỏi sự phổ biến của phần mềm gián điệp thương mại nước ngoài”.