Dans sa lutte contre les logiciels d’espionnage, Microsoft ne s’embarrasse plus vraiment de sauvegarder les apparences. L’éditeur a publié hier un post de blog dénonçant les actions d’un « PSOA », acronyme de « Private Sector Offensive Actor » – en français, un acteur malveillant issu du secteur privé.
La société a baptisé le groupe Knotweed, mais ne se limite pas à un simple nom de code et publie également le nom de la société : DSIRF, une société autrichienne qui se présente sur son site web comme une société proposant des capacités de red teaming et de due diligence à destination d’entreprises multinationales dans les secteurs de la technologie, de la finance, de la vente et de l’énergie.
Aux yeux de Microsoft, cette société serait plutôt à classer du côté des « cybermercenaires » à l’instar de sociétés comme NSO ou Candiru. Contrairement à ces dernières, néanmoins, DSIRF ne se contenterait pas de revendre des logiciels malveillants à ses clients, mais se chargerait aussi directement d’infiltrer certaines cibles.
Des failles zero day dans l’arsenal
Microsoft indique dans son blog avoir identifié plusieurs attaques, s’étendant de 2021 à 2022, impliquant l’utilisation d’un logiciel malveillant baptisé Subzero. Celui-ci se présente sous la forme d’un logiciel malveillant modulaire, résidant uniquement dans la mémoire vive de l’appareil afin de limiter les risques de détection. « Il contient une variété de fonctionnalités, notamment l’enregistrement de frappe, les captures d’écran, l’exfiltration de fichiers, l’exécution d’un shell distant et l’exécution de plug-in arbitraires téléchargés à partir du serveur C2 de KNOTWEED », explique Microsoft.
Pour parvenir à exécuter ce logiciel malveillant sur les appareils ciblés, Knotweed (ou DSIRF) a eu recours à plusieurs vulnérabilités pour infiltrer les systèmes Windows. En 2021, Microsoft a ainsi identifié deux vulnérabilités d’élévation de privilèges dans Windows (CVE-2021-31199 et CVE-2021-31201) et une vulnérabilité dans Adobe Reader (CVE-2021-28550), utilisées conjointement pour infecter une cible avec le logiciel Subzero.
Microsoft indique que ces différentes vulnérabilités ont été résolues par ses équipes dans un patch diffusé au cours du mois de juin 2021. En 2022, Knotweed est néanmoins revenu à la charge en exploitant une nouvelle fois une faille d’élévation de privilèges dans Windows (CVE-2022-22047) et une autre faille dans Adobe Reader que Microsoft n’est pas parvenu à identifier formellement.
Faisceau d’indices
Dans d’autres attaques, Microsoft a également identifié des documents Excel piégés permettant d’installer le logiciel malveillant Subzero si l’utilisateur activait les macros. Une fois les appareils infectés par le malware, les acteurs malveillants derrière l’intrusion cherchaient à récupérer les mots de passe enregistrés sur la machine et à accéder aux e-mails contenant d’éventuels identifiants et mots de passe.
Microsoft est parvenu à identifier l’entreprise derrière ses attaques en s’appuyant sur un faisceau d’indices récoltés par ses équipes de sécurité et par ceux de la société RiskIQ. En s’appuyant sur le nom de domaine utilisé par un serveur de contrôle dans une des attaques analysée par l’équipe de sécurité de Microsoft, RiskIQ est parvenu à identifier plusieurs adresses IP utilisées par le même groupe en s’appuyant sur « des motifs récurrents dans l’utilisation de certificats SSL et d’autres traces réseaux ».
Les analystes sont parvenus à retrouver ainsi plusieurs noms de domaines utilisés par la société DSIRF pour le test et le développement du malware Subzero. Des indices qui concordent avec des articles d’Intelligence Online, Focus Online et Netzpolitik.de, qui faisaient déjà état d’un lien entre la société DSIRF et le logiciel malveillant Subzero.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));