Microsoft Threat Intelligence Center (MSTIC) と Microsoft Security Response Center (MSRC) は水曜日に主張した彼らは、オーストリアを拠点とする民間部門の攻撃者 (PSOA) が、ヨーロッパおよび中米の顧客に対する「限定的かつ標的型攻撃」で Windows と Adobe の複数のゼロデイ エクスプロイトを悪用していることを発見したと発表しました。
よく知らない人のために説明すると、PSOA は、ターゲットのコンピューター、電話、ネットワーク インフラストラクチャ、その他のデバイスをハッキングするために、サービスとしてのハッキング パッケージでサイバー兵器を製造、販売する民間企業であり、多くの場合、世界中の政府機関に販売されています。
Microsoft が Knotweed と名付けた DSIRF というオーストリアに本拠を置く PSOA は、「Subzero」と呼ばれるマルウェア ツールセットの開発と販売の試みに関与しているとされています。
DSIRF はウェブサイト上で、「テクノロジー、小売、エネルギー、金融分野の多国籍企業に、情報調査、フォレンジック、データ駆動型インテリジェンスの分野でミッションに合わせたサービス」を提供する企業として自社を宣伝しています。情報を収集し分析するための高度な技術のセットです。」
レドモンドの大手企業は、オーストリアに本拠を置くDSIRFは、さまざまなビジネスモデルを通じてハッキングツールやサービスを販売するサイバー傭兵グループに該当すると述べた。このタイプのアクターの 2 つの一般的なモデルは、Access-as-a-Service と Hack-for-hire です。
MSTIC は、2021 年から 2022 年にかけて、Windows や Adobe Reader のゼロデイ エクスプロイトを含むさまざまな方法で、Subzero マルウェアがコンピューター上で拡散していたことを発見しました。
このマルウェアの有用性に関する調査の一環として、Microsoft が Subzero 被害者とやり取りしたところ、レッド チームや侵入テストを許可していないことが明らかになり、それが無許可の悪意のある活動であることが確認されました。
「これまでに確認された被害者には、オーストリア、英国、パナマなどの国の法律事務所、銀行、戦略的コンサルタント会社が含まれます。国際的なターゲット設定が一般的であるため、ある国でターゲットが特定されても、必ずしも DSIRF 顧客が同じ国に居住していることを意味するわけではないことに注意することが重要です。」書きました詳細なブログ投稿で。
「MSTIC は、DSIRF と、これらの攻撃に使用されたエクスプロイトおよびマルウェアとの間に複数の関連性があることを発見しました。これらには、DSIRF に直接リンクするマルウェアによって使用されるコマンド アンド コントロール インフラストラクチャ、1 つの攻撃で使用される DSIRF 関連の GitHub アカウント、エクスプロイトの署名に使用される DSIRF に発行されたコード署名証明書、およびその他のオープンソース ニュース レポートが含まれます。 Subzero の原因は DSIRF にあると考えています。」
2022 年 5 月、Microsoft は、Subzero の導入につながった攻撃で、Adobe Reader のリモート コード実行 (RCE) とゼロデイ Windows 権限昇格エクスプロイト チェーンが使用されていることを検出しました。
「エクスプロイトは PDF ドキュメントにパッケージ化され、電子メールで被害者に送信されました。 Microsoft はエクスプロイト チェーンの PDF または Adobe Reader RCE 部分を入手できませんでしたが、被害者の Adobe Reader バージョンは 2022 年 1 月にリリースされました。つまり、使用されたエクスプロイトは 1 月から 5 月の間に開発された 1 日間のエクスプロイトか、ゼロデイエクスプロイト」と同社は説明した。
DSIRF による追加のゼロデイの広範な使用に基づいて、Microsoft は Adobe Reader RCE が実際にゼロデイ エクスプロイトであったと考えています。この Windows エクスプロイトは MSRC によって分析され、ゼロデイ エクスプロイトであることが判明し、2022 年 7 月に Windows クライアント/サーバー ランタイム サブシステム (csrss.exe) に CVE-2022-22047 としてパッチが適用されました。
オーストリアの会社のエクスプロイトは、以前の 2 つの Windows 特権昇格エクスプロイト (CVE-2021-31199そしてCVE-2021-31201) Adobe Reader エクスプロイト (CVE-2021-28550)、すべて 2021 年 6 月にパッチが適用されました。
2021 年、このサイバー傭兵グループは、Windows Update メディック サービスにおける Windows 特権昇格の欠陥である 4 番目のゼロデイの悪用にも関連していました (CVE-2021-36948)、これにより、攻撃者はサービスに任意の署名付き DLL を強制的に読み込ませることができました。
このような攻撃を軽減するために、Microsoft はお客様に次のことを推奨しています。
- パッチ適用を優先するCVE-2022-22047。
- 関連するインジケーターを検出するには、Microsoft Defender ウイルス対策がセキュリティ インテリジェンス更新プログラム 1.371.503.0 以降に更新されていることを確認します。
- 含まれている侵害の指標を使用して、それらが環境内に存在するかどうかを調査し、侵入の可能性を評価します。
- Excel マクロのセキュリティ設定を変更するワークブックを開いたときに、どのマクロがどのような状況で実行されるかを制御します。お客様は次のこともできます悪意のある XLM または VBA マクロを停止します。Antimalware Scan Interface (AMSI) によるランタイム マクロ スキャンがオンになっていることを確認します。
- 多要素認証 (MFA) を有効にして、資格情報の侵害の可能性を軽減し、すべてのリモート接続に対して MFA が強制されるようにします。
- 単一要素認証で構成されたアカウントに焦点を当てて、リモート アクセス インフラストラクチャのすべての認証アクティビティを確認し、信頼性を確認し、異常なアクティビティを調査します。
マイクロソフトは、イタドリを破壊するために技術的手段を使用することに加えて、書面による証言「外国の商用スパイウェアの拡散による米国国家安全保障への脅威との闘い」に関する下院情報公聴会常設特別委員会に提出。
