KNOTWEED APT IOCs

security IOC

Центр разведки угроз Microsoft (MSTIC) и Центр реагирования на угрозы безопасности Microsoft (MSRC) обнаружили частного агента нападения (PSOA), который использовал несколько эксплойтов Windows и Adobe 0-day, включая один для недавно исправленного CVE-2022-22047, в ограниченных и целенаправленных атаках на европейских и центральноамериканских клиентов. PSOA, которую MSTIC отслеживает как KNOTWEED, разработала вредоносное ПО под названием Subzero, которое использовалось в этих атаках.

KNOTWEED

KNOTWEED - это базирующаяся в Австрии PSOA под названием DSIRF. На сайте DSIRF говорится, что они предоставляют услуги "многонациональным корпорациям в технологическом, розничном, энергетическом и финансовом секторах" и что у них есть "набор высокотехнологичных методов сбора и анализа информации". Они публично предлагают несколько услуг, включая "улучшенный процесс комплексной проверки и анализа рисков путем обеспечения глубокого понимания физических и юридических лиц" и "высокотехнологичные "красные команды" для проверки наиболее важных активов вашей компании".

Однако многочисленные новостные сообщения связывают DSIRF с разработкой и попыткой продажи набора инструментов для вредоносного ПО под названием Subzero. В 2021 и 2022 годах MSTIC обнаружил, что вредоносное ПО Subzero распространяется различными методами, включая эксплойты 0-day в Windows и Adobe Reader. В рамках нашего расследования полезности этого вредоносного ПО, в ходе общения Microsoft с жертвой Subzero выяснилось, что они не заказывали никаких исследований или тестов на проникновение, и подтвердили, что это была несанкционированная вредоносная деятельность. На сегодняшний день среди наблюдаемых жертв - юридические фирмы, банки и стратегические консультационные компании в таких странах, как Австрия, Великобритания и Панама. Важно отметить, что выявление целей в какой-либо стране не обязательно означает, что клиент DSIRF проживает в той же стране, так как международные атаки - обычное явление.

MSTIC обнаружил множество связей между DSIRF и эксплойтами и вредоносными программами, используемыми в этих атаках. В частности, командно-контрольная инфраструктура, используемая вредоносным ПО, напрямую связана с DSIRF, в одной атаке использовался связанный с DSIRF аккаунт GitHub, сертификат подписи кода, выданный DSIRF, использовался для подписи эксплойта, а также другие новостные сообщения из открытых источников, приписывающие Subzero к DSIRF.

Indicators of Compromise

Domains

  • acrobatrelay.com
  • finconsult.cc
  • realmetaldns.com

SHA256

  • 02a59fe2c94151a08d75a692b550e66a8738eb47f0001234c600b562bf8c227d
  • 0588f61dc7e4b24554cffe4ea56d043d8f6139d2569bc180d4a77cf75b68792f
  • 441a3810b9e89bae12eea285a63f92e98181e9fb9efd6c57ef6d265435484964
  • 4611340fdade4e36f074f75294194b64dcf2ec0db00f3d958956b4b0d6586431
  • 5d169e083faa73f2920c8593fb95f599dad93d34a6aa2b0f794be978e44c8206
  • 78c255a98003a101fa5ba3f49c50c6922b52ede601edac5db036ab72efc57629
  • 7f29b69eb1af1cc6c1998bad980640bfe779525fd5bb775bc36a0ce3789a8bfc
  • 7f84bf6a016ca15e654fb5ebc36fd7407cb32c69a0335a32bfc36cb91e36184d
  • 894138dfeee756e366c65a197b4dbef8816406bc32697fac6621601debe17d53
  • afab2e77dc14831f1719e746042063a8ec107de0e9730249d5681d07f598e5ec
  • c96ae21b4cf2e28eec222cfe6ca903c4767a068630a73eca58424f9a975c6b7d
  • cbae79f66f724e0fe1705d6b5db3cc8a4e89f6bdf4c37004aa1d45eeab26e84b
  • e64bea4032cf2694e85ede1745811e7585d3580821a00ae1b9123bb3d2d442d6
  • fa30be45c5c5a8f679b42ae85410f6099f66fe2b38eb7aa460bcc022babb41ca
  • fd6515a71530b8329e2c0104d0866c5c6f87546d4b44cc17bbb03e64663b11fc
SEC-1275-1
Добавить комментарий