Si dice che un'azienda viennese abbia utilizzato diversi exploit 0-day per malware. Gli specialisti Microsoft hanno monitorato e valutato diversi attacchi. La società DSIRF - nome in codice Knotweed - vuole vedere "niente di offensivo" al riguardo. L'exploit Subzero dovrebbe provenire sicuramente da DSIRF e probabilmente da un Trojan di stato sviluppato.
Come già heise.de Secondo quanto riferito, Microsoft si lamenta della società viennese DSIRF, poiché si dice che essa stessa abbia utilizzato un trojan di stato appositamente sviluppato. Con Subzero, diversi obiettivi sono stati violati e monitorati da febbraio 2020, come avvocati o banche. DSIRF non contesta questo fatto, ma nega l'uso improprio.
Subzero già utilizzato dal 2020
In una presentazione pubblicitaria, DSIRF avrebbe descritto le sue aree di attività: biometria, conservazione delle prove informatiche, analisi delle elezioni e delle campagne elettorali e guerra informatica. A questo punto, si dice che il Subzero Trojan sia stato pubblicizzato come un'arma per la prossima generazione di guerra online. Portale opposto heise.de Subzero è stato descritto come software per uso ufficiale nei paesi dell'UE. Un po' contorto per un trojan di stato.
Nella propria analisi, Microsoft descrive gli attacchi informatici rilevati nel 2021 e nel 2022. Ad esempio: "Nel maggio 2022, il Microsoft Threat Intelligence Center (MSTIC) ha rilevato un'esecuzione di codice remoto di Adobe Reader (RCE) e un'escalation dei privilegi di Windows di 0 giorni Exploit Chain utilizzata in un attacco che ha portato al dispiegamento di Subzero”.
Microsoft Threat Intelligence Center conduce ricerche
Gli exploit sono stati impacchettati in un documento PDF che è stato inviato via e-mail alla vittima. Microsoft non è stata in grado di acquisire la parte PDF o Adobe Reader RCE della catena di exploit, ma la versione di Adobe Reader della vittima è stata rilasciata nel gennaio 2022, il che significa che l'exploit utilizzato era un exploit di 1 giorno sviluppato tra gennaio e maggio , o un exploit di 0 giorni. Sulla base dell'ampio utilizzo di altri 0 giorni da parte di KNOTWEED, abbiamo una ragionevole certezza che Adobe Reader RCE sia un exploit 0 giorni. L'exploit di Windows è stato analizzato da MSRC, trovato essere un exploit di 0 giorni e quindi corretto come CVE-2022-2022 nel luglio 22047.
L'attacco Subzero ha diverse fasi che denotano il nome del rilevamento di Microsoft Defender: Jumplump per il caricatore persistente e Corelump per il malware principale. Microsoft ha un post dettagliato sul blog per questo con molte descrizioni tecniche.
Altro su Microsoft.com
Informazioni su Microsoft Germania Microsoft Deutschland GmbH è stata fondata nel 1983 come filiale tedesca di Microsoft Corporation (Redmond, USA). Microsoft si impegna a consentire a ogni persona e ogni organizzazione del pianeta di ottenere di più. Questa sfida può essere vinta solo insieme, motivo per cui la diversità e l'inclusione sono state saldamente ancorate nella cultura aziendale sin dall'inizio. In qualità di produttore leader mondiale di soluzioni software produttive e servizi moderni nell'era del cloud intelligente e dell'edge intelligente, nonché sviluppatore di hardware innovativo, Microsoft si considera un partner per i propri clienti per aiutarli a trarre vantaggio dalla trasformazione digitale. La sicurezza e la privacy sono le massime priorità nello sviluppo di soluzioni. In qualità di principale contributore al mondo, Microsoft guida la tecnologia open source attraverso la sua piattaforma di sviluppo leader, GitHub. Con LinkedIn, la più grande rete di carriera, Microsoft promuove il networking professionale in tutto il mondo.