Se dio a conocer la noticia de que un mercenario cibernético vende servicios generales de seguridad y análisis de información a clientes comerciales, este usó varios Exploits de día cero de Windows y Adobe.
Mismos que se usaron para llevar a cabo ataques, mismos que se encontraban dirigidos a entidades europeas y centroamericanas.
La compañía que Microsoft describe cómo un actor ofensivo del sector privado, es un equipo que posee su sede en Austria llamado DSIRF, mismo que se encuentra vinculado a la venta y desarrollo de una pieza de arma cibernética. Dicha pieza puede ser usada para piratear toda clase de objetivos, ya sea teléfonos, ordenadores y toda clase de dispositivos conectados a internet.
Las víctimas hasta la fecha influyen grandes bufetes de abogados, bancos y consultorías estratégicas en países como Austria, Reino Unido y Panamá, dijeron los equipos de ciberseguridad del gigante Microsoft. Dicho actor fue nombrado cómo KNOTWEED, se sabe que este también lleva a cabo operaciones de acceso como servicios de piratería informática.
Además de atacar haciendo uso de los Exploits de día cero de Windows y Adobe, también ofrece herramientas a terceros y se asocia de manera directa en ciertos ataques.
El comprador puede hacer uso de dichas herramientas en sus propias operaciones, lo que quiere decir que no necesitará de la participación del actor ofensivo. Los grupos de piratería a sueldo ejecutan todas las operaciones específicas, en nombre de sus clientes. La implementación de Subzero comienza con la explicación de muchos problemas.
SubZero y la explotación de múltiples problemas al mismo tiempo
También debemos mencionar la cadena de explotación que aprovecha una falla de ejecución remota de código (RCE) de Adobe Reader, además de un error de escalada de privilegios del día cero (CVE-2022-22047).
Este último fue abrigado rápidamente por Microsoft, cómo parte de sus actualizaciones del martes de parches de este mes de julio.
CVE-2022-22047 se usó en ataques relacionados con KNOTWEED para escalar hasta los privilegios; dicha vulnerabilidad también proporcionó la capacidad de escapar de los entornos limitados y lograr la ejecución de código a nivel del sistema, explicó Microsoft.
Cadenas de ataques similares observadas en 2021 aprovecharon una combinación de dos Exploits de escalada de privilegios de Windows (CVE-2021-31199 y CVE-2021-31201).
Junto con una falla de Adobe Reader (CVE-2021-28550). Las tres vulnerabilidades se resolvieron en junio de 2021.
Posteriormente, la implementación de Subzero se produjo a través de un cuarto exploit, esta vez se aprovechó una vulnerabilidad de escalada de privilegios en el servicio Windows Update Medic CVE-2021-36948, que Microsoft cerró en agosto del pasado año.
Excel es usado para llevar a cabo estas cadenas de explotación gracias a los exploits de día cero de Windows y Adobe
Más allá de estas cadenas de explotación, los archivos de Excel que se hacen pasar por documentos inmobiliarios se han utilizado como una clase de conducto para entregar el malware.
Estos archivos contienen macros de Excel 4.0 diseñados para iniciar con el proceso de infección, independientemente del método empleado, las intrusiones culminan con la ejecución de shellcode.
Este se utiliza para recuperar una carga útil de segunda etapa llamada Corelump desde algún servidor remoto en forma de imagen JPEG que también incorpora un cargador llamado Jumplump que, a su vez, carga Corelump en la memoria.
El implante evasivo viene con una amplia gama de funciones, incluido el registro de teclas, la captura de capturas de pantalla, la extracción de archivos, la ejecución de un Shell remoto y la ejecución de complementos arbitrarios descargados del servidor remoto.
Durante los ataques también se implementaron utilidades a medida como Mex, está es una herramienta de línea de comandos para ejecutar complementos de seguridad de código abierto como Chisel, y PassLib.
Una herramienta para descargar credenciales de navegadores web, clientes de correo electrónico y el administrador de credenciales de Windows. Microsoft dijo que descubrió KNOTWEED que sirve activamente malware desde febrero de 2020 a través de la infraestructura alojada en DigitalOcean y Choopa.
Gracias a la ayuda de identificación de subdominios que se usan para el desarrollo de malware, la depuración de Mex y también la preparación de la carga útil de Subzero.
¿Qué opinas tú acerca de este uso ilegal y problemático que se le da los Exploits de día cero de Windows y Adobe? No hay duda alguna que Microsoft está ofreciendo soluciones rápidas y efectivas.
