Кибернаёмники из Австрии: как группа Denim Tsunami (бывшая KNOTWEED) использовала уязвимости нулевого дня для целевых атак

Группа, связанная с австрийской компанией DSIRF, разработала и применяла вредоносное ПО под названием Subzero. Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) обнаружили, что для его внедрения злоумышленники использовали несколько уязвимостей нулевого дня в Windows и Adobe Reader. Одна из них, CVE-2022-22047, была исправлена в июле 2022 года. Деятельность таких PSOA, как Denim Tsunami, обычно строится по одной из двух моделей: предоставление инструментов для взлома как услуги (access-as-a-service) или выполнение взлома на заказ (hack-for-hire). Однако анализ показывает, что эта группа может сочетать обе модели: они продают вредоносное ПО Subzero третьим сторонам, но также напрямую участвуют в операциях, используя собственную инфраструктуру.

В 2021 и 2022 годах MSTIC зафиксировала несколько способов внедрения Subzero. Весной 2022 года атака начиналась с отправки целевым жертвам, включая юридические фирмы, банки и консультантов, фишингового PDF-документа по электронной почте. Этот документ содержал цепочку эксплойтов: уязвимость удалённого выполнения кода (RCE) в Adobe Reader и уязвимость нулевого дня для повышения привилегий в Windows (CVE-2022-22047). Уязвимость в Windows позволяла не только повысить привилегии, но и обойти песочницы, например, в Adobe Reader или Chromium, что привело бы к выполнению кода на уровне системы. Интересно, что в коде эксплойта были обнаружены признаки его адаптации для атак через браузеры на базе Chromium, хотя такие случаи пока не зафиксированы.

Годом ранее, в 2021 году, группа использовала другую цепочку уязвимостей, включающую CVE-2021-31199, CVE-2021-31201 и CVE-2021-28550. Позже было установлено, что для развёртывания Subzero применялся и четвёртый эксплойт, нацеленный на службу Windows Update Medic (CVE-2021-36948). Вредоносная DLL, использованная в этой атаке, была подписана цифровым сертификатом, выданным на имя DSIRF GmbH, что стало одним из ключевых доказательств привязки активности к этой компании. Помимо эксплойтов, для начального доступа применялся файл Excel, маскирующийся под документ по недвижимости. Он содержал тщательно обфусцированный макрос, который использовал фрагменты текста из "Камасутры" и функции Excel 4.0 для усложнения анализа и уклонения от обнаружения.

После успешного проникновения исполнялся загрузчик, который получал с командного сервера (C2) изображение в формате JPEG. В конец этого файла, после стандартного маркера окончания, добавлялись зашифрованные данные. Загрузчик расшифровывал и исполнял в памяти основной модуль вредоносного ПО, известный как Corelump. Этот модуль, никогда не сохранявшийся на диск, обладал широким набором функций: кейлоггинг, создание скриншотов, извлечение файлов, удалённый доступ и выполнение произвольных плагинов с C2. Для обеспечения устойчивости (persistence) Corelump создавал на диске троянизированные версии легитимных DLL Windows (обнаруживаемые как Jumplump), размещая их в каталоге C:\Windows\System32\spool\drivers\color\. Затем он изменял системные реестровые ключи COM для перехвата загрузки легитимных библиотек, что гарантировало запуск вредоносного кода при каждой загрузке системы.

В арсенале группы также были обнаружены специализированные утилиты Mex и PassLib. Mex представляла собой консольный инструмент, собранный из множества открытых инструментов для тестирования на проникновение, таких как Mimikatz, Rubeus и SharpHound. PassLib являлся сборщиком паролей, способным извлекать учётные данные из браузеров, почтовых клиентов, процесса LSASS и диспетчера учётных данных Windows. После компрометации злоумышленники выполняли ряд действий: включали хранение паролей в незашифрованном виде в памяти через реестр, дампили данные из LSASS, пытались получить доступ к почтовым ящикам и загружали дополнительные инструменты с публичных файловых хостингов.

Расследование инфраструктуры группы, начатое с домена acrobatrelay[.]com, выявило прямые связи с DSIRF. Были обнаружены поддомены, такие как debugmex[.]dsirflabs[.]eu и szstaging[.]dsirflabs[.]eu, которые, вероятно, использовались для отладки вредоносного ПО и промежуточного размещения Subzero. Эта инфраструктура, размещённая у хостинг-провайдеров Digital Ocean и Choopa, активно использовалась с февраля 2020 года. Microsoft рекомендует всем организациям в срочном порядке установить обновление безопасности от июля 2022 года для устранения CVE-2022-22047. Кроме того, для защиты следует обновить Microsoft Defender Antivirus, контролировать настройки безопасности макросов в Excel, включить многофакторную аутентификацию и отслеживать подозрительную активность, такую как модификация реестровых ключей WDigest или создание дампов процесса LSASS.

Переход на новую систему имён, где KNOTWEED становится Denim Tsunami, отражает эволюцию подхода Microsoft к классификации угроз. Новые названия призваны лучше передавать происхождение, уникальные черты и потенциальное воздействие групп. Предоставленная информация и индикаторы компрометации (IOC) помогают улучшить обнаружение подобных сложных целевых атак по всей отрасли.

Domains

• acrobatrelay.com
• finconsult.cc
• realmetaldns.com

SHA256

• 02a59fe2c94151a08d75a692b550e66a8738eb47f0001234c600b562bf8c227d
• 0588f61dc7e4b24554cffe4ea56d043d8f6139d2569bc180d4a77cf75b68792f
• 441a3810b9e89bae12eea285a63f92e98181e9fb9efd6c57ef6d265435484964
• 4611340fdade4e36f074f75294194b64dcf2ec0db00f3d958956b4b0d6586431
• 5d169e083faa73f2920c8593fb95f599dad93d34a6aa2b0f794be978e44c8206
• 78c255a98003a101fa5ba3f49c50c6922b52ede601edac5db036ab72efc57629
• 7f29b69eb1af1cc6c1998bad980640bfe779525fd5bb775bc36a0ce3789a8bfc
• 7f84bf6a016ca15e654fb5ebc36fd7407cb32c69a0335a32bfc36cb91e36184d
• 894138dfeee756e366c65a197b4dbef8816406bc32697fac6621601debe17d53
• afab2e77dc14831f1719e746042063a8ec107de0e9730249d5681d07f598e5ec
• c96ae21b4cf2e28eec222cfe6ca903c4767a068630a73eca58424f9a975c6b7d
• cbae79f66f724e0fe1705d6b5db3cc8a4e89f6bdf4c37004aa1d45eeab26e84b
• e64bea4032cf2694e85ede1745811e7585d3580821a00ae1b9123bb3d2d442d6
• fa30be45c5c5a8f679b42ae85410f6099f66fe2b38eb7aa460bcc022babb41ca
• fd6515a71530b8329e2c0104d0866c5c6f87546d4b44cc17bbb03e64663b11fc