Se dice que una empresa vienesa ha utilizado varios exploits de día cero para el malware. Los especialistas de Microsoft rastrearon y evaluaron varios ataques. La compañía DSIRF, cuyo nombre en código es Knotweed, no quiere ver "nada abusivo" al respecto. El exploit Subzero definitivamente debería provenir de DSIRF y probablemente un troyano estatal desarrollado.
Como ya heise.de Microsoft se queja de la empresa vienesa DSIRF, ya que se dice que ellos mismos han utilizado un troyano estatal especialmente desarrollado. Con Subzero, varios objetivos han sido pirateados y monitoreados desde febrero de 2020, como abogados o bancos. DSIRF no discute este hecho, pero niega el uso indebido.
Subzero ya se usa desde 2020
En una presentación publicitaria, se dice que DSIRF describió cómo son sus áreas comerciales: biometría, preservación de evidencia de TI, análisis de elecciones y campañas electorales, y guerra cibernética. En este sentido, se dice que el troyano Subzero se ha anunciado como un arma para la próxima generación de guerra en línea. portal opuesto heise.de Subzero se describió como software para uso oficial en los países de la UE. Algo complicado para un troyano estatal.
En su propio análisis, Microsoft describe los ciberataques encontrados en 2021 y 2022. Por ejemplo: “En mayo de 2022, el Microsoft Threat Intelligence Center (MSTIC) encontró una ejecución remota de código (RCE) de Adobe Reader y una escalada de privilegios de Windows de 0 días. Exploit Chain utilizado en un ataque que condujo al despliegue de Subzero”.
El Centro de inteligencia sobre amenazas de Microsoft realiza una investigación
Los exploits se empaquetaron en un documento PDF que se envió por correo electrónico a la víctima. Microsoft no pudo adquirir el PDF o Adobe Reader RCE como parte de la cadena de explotación, pero la versión de Adobe Reader de la víctima se lanzó en enero de 2022, lo que significa que la explotación utilizada fue una explotación de 1 día que se desarrolló entre enero y mayo. , o un exploit de día 0. Basado en el uso extensivo de KNOTWEED de otros días 0, tenemos una confianza razonable de que Adobe Reader RCE es un exploit de día 0. El exploit de Windows fue analizado por MSRC, se encontró que era un exploit de 0 días y luego se parcheó como CVE-2022-2022 en julio de 22047.
El ataque Subzero tiene diferentes etapas que indican el nombre de detección de Microsoft Defender: Jumplump para el cargador persistente y Corelump para el malware principal. Microsoft tiene una publicación de blog detallada para esto con mucha descripción técnica.
Más en Microsoft.com
Acerca de Microsoft Alemania Microsoft Deutschland GmbH fue fundada en 1983 como la subsidiaria alemana de Microsoft Corporation (Redmond, EE. UU.). Microsoft se compromete a empoderar a todas las personas y todas las organizaciones del planeta para lograr más. Este desafío solo se puede superar juntos, razón por la cual la diversidad y la inclusión se han anclado firmemente en la cultura corporativa desde el principio. Como fabricante líder mundial de soluciones de software productivas y servicios modernos en la era de la nube inteligente y el borde inteligente, así como desarrollador de hardware innovador, Microsoft se ve a sí mismo como un socio de sus clientes para ayudarlos a beneficiarse de la transformación digital. La seguridad y la privacidad son las principales prioridades al desarrollar soluciones. Como el mayor contribuyente del mundo, Microsoft impulsa la tecnología de código abierto a través de su plataforma de desarrollo líder, GitHub. Con LinkedIn, la red profesional más grande, Microsoft promueve la creación de redes profesionales en todo el mundo.