Microsoft beschuldigt Wiener Firma wegen Zero-Day Attacken

Das Microsoft Threat Intelligence Center (MSTIC) und das Microsoft Security Response Center (MSRC) haben festgestellt, dass ein privater Angriffsakteur (PSOA) mehrere Windows- und Adobe 0-Day-Exploits, darunter eines für das kürzlich gepatchte CVE-2022-22047, in begrenzten und gezielten Angriffen gegen europäische und mittelamerikanische Kunden verwendet hat. Die PSOA, die von MSTIC als KNOTWEED bezeichnet wird, entwickelte Malware namens Subzero, die bei diesen Angriffen eingesetzt wurde.

Bei KNOTWEED handelt es sich um eine in Österreich ansässige PSOA namens DSIRF. Die genaue Adresse lautet Barichgasse 38/1/6, 1030 Wien, Telefon +43 1 934 6725.

Auf der DSIRF-Website heißt es, dass sie Dienstleistungen „für multinationale Unternehmen in den Bereichen Technologie, Einzelhandel, Energie und Finanzen“ erbringen und dass sie „über eine Reihe hochentwickelter Techniken zur Sammlung und Analyse von Informationen“ verfügen. Sie bieten öffentlich mehrere Dienstleistungen an, darunter „einen verbesserten Due-Diligence- und Risikoanalyseprozess durch ein tiefes Verständnis von Personen und Unternehmen“ und „hochentwickelte Red Teams, um die kritischsten Vermögenswerte Ihres Unternehmens zu überprüfen“.

In mehreren Medienberichten wurde DSIRF jedoch mit der Entwicklung und dem versuchten Verkauf eines Malware-Toolsets namens Subzero in Verbindung gebracht. MSTIC fand heraus, dass die Subzero-Malware in den Jahren 2021 und 2022 über eine Vielzahl von Methoden verbreitet wurde, darunter 0-Day-Exploits in Windows und Adobe Reader. Im Rahmen unserer Untersuchung des Nutzens dieser Malware ergab die Kommunikation von Microsoft mit einem Subzero-Opfer, dass dieses kein Red Teaming oder Penetrationstests in Auftrag gegeben hatte, und bestätigte, dass es sich um nicht autorisierte, bösartige Aktivitäten handelte. Zu den bisher beobachteten Opfern gehören Anwaltskanzleien, Banken und strategische Beratungsunternehmen in Ländern wie Österreich, Großbritannien und Panama. Es ist wichtig anzumerken, dass die Identifizierung von Zielen in einem Land nicht unbedingt bedeutet, dass ein DSIRF-Kunde in demselben Land ansässig ist, da internationale Angriffe üblich sind.

MSTIC hat mehrere Verbindungen zwischen DSIRF und den bei diesen Angriffen verwendeten Exploits und Schadprogrammen festgestellt. Dazu gehören die von der Malware verwendete Befehls- und Kontrollinfrastruktur, die direkt mit DSIRF verbunden ist, ein mit DSIRF verbundenes GitHub-Konto, das bei einem Angriff verwendet wurde, ein auf DSIRF ausgestelltes Code-Signatur-Zertifikat, das zum Signieren eines Exploits verwendet wurde, und andere Open-Source-Nachrichtenberichte, die Subzero mit DSIRF in Verbindung bringen.

PSOAs, die von Microsoft auch als Cybersöldner bezeichnet werden, verkaufen Hacking-Tools oder -Dienstleistungen über eine Vielzahl von Geschäftsmodellen. Zwei gängige Modelle für diese Art von Akteuren sind „access-as-a-service“ und „hack-for-hire“. Bei Access-as-a-Service verkauft der Akteur vollständige End-to-End-Hacking-Tools, die vom Käufer in Operationen eingesetzt werden können, wobei die PSOA nicht in die Zielerfassung oder Durchführung der Operation eingebunden ist. Beim „Hack-for-hire“ stellt der Käufer dem Akteur detaillierte Informationen zur Verfügung, der dann die gezielten Operationen durchführt. Ausgehend von beobachteten Angriffen und Nachrichtenberichten geht MSTIC davon aus, dass KNOTWEED eine Mischung aus diesen Modellen darstellt: Sie verkaufen die Subzero-Malware an Dritte, wurden aber auch dabei beobachtet, wie sie bei einigen Angriffen KNOTWEED-assoziierte Infrastruktur verwendeten, was auf eine direktere Beteiligung hindeutet.

Erster Zugriff auf KNOTWEED

MSTIC fand heraus, dass die Subzero-Malware von KNOTWEED auf unterschiedliche Weise eingesetzt wurde. In den folgenden Abschnitten werden die verschiedenen Phasen von Subzero mit den Namen der Microsoft Defender-Erkennung bezeichnet: Jumplump für den persistenten Loader und Corelump für die Haupt-Malware.

KNOTWEED-Exploits im Jahr 2022

Im Mai 2022 entdeckte MSTIC eine Adobe Reader Remote Code Execution (RCE) und eine 0-Day Windows Privilege Escalation Exploit Chain, die in einem Angriff verwendet wurden, der zur Verbreitung von Subzero führte. Die Exploits waren in einem PDF-Dokument verpackt, das dem Opfer per E-Mail zugesandt wurde. Microsoft war nicht in der Lage, den PDF- oder Adobe Reader RCE-Teil der Exploit-Kette zu beschaffen, aber die Adobe Reader-Version des Opfers wurde im Januar 2022 veröffentlicht, was bedeutet, dass der verwendete Exploit entweder ein 1-Day-Exploit war, der zwischen Januar und Mai entwickelt wurde, oder ein 0-Day-Exploit. Aufgrund der umfangreichen Nutzung anderer 0-Day-Exploits durch KNOTWEED gehen wir mit mittlerer Sicherheit davon aus, dass der Adobe Reader RCE ein 0-Day-Exploit ist. Der Windows-Exploit wurde von MSRC analysiert, als 0-Day-Exploit eingestuft und dann im Juli 2022 als CVE-2022-22047 gepatcht. Interessanterweise gab es im Code des Windows-Exploits Hinweise darauf, dass er auch für die Verwendung von Chromium-basierten Browsern entwickelt wurde, obwohl wir keine Hinweise auf browserbasierte Angriffe gesehen haben.

Die Sicherheitsanfälligkeit CVE-2022-22047 bezieht sich auf ein Problem mit dem Aktivierungskontext-Caching im Client Server Run-Time Subsystem (CSRSS) unter Windows. Die Sicherheitslücke könnte es einem Angreifer ermöglichen, ein manipuliertes Assembly-Manifest bereitzustellen, das einen bösartigen Aktivierungskontext im Aktivierungskontext-Cache für einen beliebigen Prozess erstellt. Dieser zwischengespeicherte Kontext wird verwendet, wenn der Prozess das nächste Mal startet.

CVE-2022-22047 wurde in Angriffen im Zusammenhang mit KNOTWEED für die Ausweitung von Privilegien genutzt. Die Schwachstelle bot auch die Möglichkeit, Sandboxen zu umgehen (mit einigen Einschränkungen, wie unten beschrieben) und Code auf Systemebene auszuführen. Die Exploit-Kette beginnt mit dem Schreiben einer bösartigen DLL auf die Festplatte aus dem in der Sandbox befindlichen Adobe Reader-Renderer-Prozess. Der CVE-2022-22047-Exploit wurde dann verwendet, um einen Systemprozess anzugreifen, indem ein Anwendungsmanifest mit einem undokumentierten Attribut versehen wurde, das den Pfad der bösartigen DLL angab. Wenn der Systemprozess dann das nächste Mal gestartet wurde, wurde das Attribut im bösartigen Aktivierungskontext verwendet, die bösartige DLL wurde vom angegebenen Pfad geladen und die Ausführung von Code auf Systemebene wurde erreicht.

Es ist wichtig anzumerken, dass Angreifer zur Ausnutzung von CVE-2022-22047 in der Lage sein müssen, eine DLL auf die Festplatte zu schreiben. Im Bedrohungsmodell von Sandboxen wie dem von Adobe Reader und Chromium wird die Möglichkeit, Dateien zu schreiben, deren Pfad der Angreifer nicht kontrollieren kann, jedoch nicht als gefährlich angesehen. Daher stellen diese Sandboxen kein Hindernis für die Ausnutzung von CVE-2022-22047 dar.

Jakob Jung

Recent Posts

Yippie-Ya-Yay, Schweinebacke!

Bruce Willis per Deepfake: Der Die Hard Star hat seine Persönlichkeitsrechte für einen digitalen Zwilling…

1 Tag ago

Quantum Builder verbreitet Trojaner

Der Remote Access Trojaner (RAT) Agent Tesla wird mittels Spear Phishing über einen im Dark…

1 Tag ago

Red Hat kündigt OpenStack Platform 17 an

Die neue Version der OpenStack Platform 17 unterstützt Service-Provider beim Aufbau umfangreicher, sicherer und moderner…

1 Tag ago

Digitale Souveränität gefordert

Auf dem IONOS Summit in der Messe Karlsruhe ging es um den Cloud-Markt und neue…

1 Tag ago

Google stellt Stadia ein

Google wird seinen Spieledienst Stadia am 18. Januar 2023 abschalten. Die Spieler erhalten ihr Geld…

1 Tag ago

Der Wandel ist die neue Konstante

Mitarbeiter verlassen sich heute auf digitale Tools am Arbeitsplatz, um entspannter zusammenzuarbeiten, aber gleichzeitig sind…

1 Tag ago