微軟表示，Knotweed Euro 網絡雇傭軍攻擊私營部門

微軟發布了對歐洲“私營部門攻擊者”的分析，旨在幫助其客戶發現貪錢的黑幫攻擊的跡象。

被微軟威脅情報中心和安全響應中心稱為 Knotweed的私營部門目標小組利用多個 Windows 和 Adob??e 零日漏洞攻擊歐洲和中美洲客戶。

根據微軟的說法，該組織本身就是一家位于奧地利的 PSOA。根據微軟的報告，雖然該組織看起來非常光明正大，網站上充斥著關于信息收集和公司 20 年專業知識的商業言論，但該組織與 SubZero 惡意軟件的開發和銷售有關。

“迄今為止觀察到的受害者，”微軟指出，“包括奧地利、英國和巴拿馬等國家的律師事務所、銀行和戰略咨詢公司。”

不出所料，該惡意軟件利用包括零日漏洞在內的許多漏洞來滲透受害者的計算機。2022 年，發現通過電子郵件發送的 PDF 文檔中打包了漏洞利用，當與零日 Windows 權限提升漏洞結合使用時，導致了 SubZero 的部署。SubZero 本身是一個 rootkit，可以完全控制受感染的系統。

修補后的CVE-2022-22047漏洞出現在攻擊中，并可以逃離沙箱。自然，微軟熱衷于用戶應用安全補丁，盡管有一些不幸的副作用......

“漏洞利用鏈開始，”微軟解釋說，“從沙盒化的 Adob??e Reader 渲染器進程將惡意 DLL 寫入磁盤。然后通過提供具有未記錄屬性的應用程序清單，利用 CVE-2022-22047 漏洞攻擊系統進程指定惡意 DLL 的路徑。

“然后，下一次產生系統進程時，使用惡意激活上下文中的屬性，從給定路徑加載惡意DLL，實現系統級代碼執行。”

利用當年修補的漏洞，在 2021 年跟蹤了其他攻擊。一項部署被追蹤到一個偽裝成房地產文檔的 Excel 文件，其中包含惡意 Excel 4.0 宏（被《Kama Sutra》中的大量文本混淆。）

一旦進入，惡意軟件就會潛伏在內存中，可以捕獲屏幕截圖、執行鍵盤記錄、泄露文件、運行遠程 shell 并從 Knotweed 的 C2 服務器下載插件。

調查人員已經確定了 Knotweed 控制下的大量 IP 地址。令人沮喪的是，微軟指出“這個主要由 Digital Ocean 和 Choopa 托管的基礎設施至少從 2020 年 2 月起就一直在積極地為惡意軟件提供服務，并且一直持續到撰寫本文時。”

隨著該組織的活動持續進行，微軟唯一的建議似乎是在補丁和惡意軟件檢測方面保持最新，并注意諸如憑證轉儲和啟用明文憑證之類的泄露后操作。

此外，建議切換到多重身份驗證并更改 Excel 宏安全設置，以確保啟用反惡意軟件掃描接口的運行時宏掃描。

總體而言，微軟的分析既是對活躍群體的有趣評估，也是對不法分子和研究人員之間正在進行的競賽的清醒提醒。可悲的是，看起來關于漏洞、漏洞利用和補丁的打地鼠游戲不太可能很快結束。