Microsoft: Subzero wohl als Staats-Trojaner entwickelt 

B2B Cyber Security ShortNews

Beitrag teilen

Eine Wiener Firma soll mehrere 0-Day-Exploits für Malware genutzt haben. Die Spezialisten von Microsoft verfolgten mehrere Angriffe und werteten sie aus. Die Firma DSIRF – mit dem Codenamen Knotweed – will dabei „nichts Missbräuchliches“ sehen. Der Exploit ​Subzero soll definitiv von DSIRF stammen und wohl ein entwickelter Staats-Trojaner.

Wie bereits heise.de berichtete, beschwert sich Microsoft über die Wiener Firma DSIRF, da diese einen speziell entwickelten Staats-Trojaner selbst eingesetzt haben soll. Mit Subzero sollen bereits seit Februar 2020 mehrere Ziele gehackt und überwacht worden sein, wie Anwälte oder Banken. Diese Tatsache stellt DSIRF wohl nicht in Abrede, bestreitet dabei aber einen missbräuchlichen Einsatz.

Anzeige

Subzero bereits seit 2020 benutzt

In einer Werbepräsentation soll DSIRF beschrieben haben, wie seine Geschäftsfelder aussehen: Biometrie, IT-Beweissicherung, Analyse von Wahlen und Wahlkämpfen, sowie Cyber Warfare. In diesem Umfang soll der Trojaner Subzero als Waffe für die nächste Generation der Online-Kriegsführung beworben worden sein. Gegenüberdem Portal heise.de wurde Subzero als Software zur behördlichen Anwendung in Staaten der EU umschrieben. Etwas verklausuliert für einen Staats-Trojaner.

Microsoft beschreibt in seiner eigenen Analyse die gefundenen Cyber-Angriffe in 2021 und 2022. So etwa: „Im Mai 2022 fand das Microsoft Threat Intelligence Center (MSTIC) eine Adobe Reader Remote Code Execution (RCE) und eine 0-Day Windows Privilege Escalation Exploit Chain, die bei einem Angriff verwendet wurden, der zur Bereitstellung von Subzero führte“.

Microsoft Threat Intelligence Center forscht

Die Exploits wurden in ein PDF-Dokument verpackt, das dem Opfer per E-Mail zugeschickt wurde. Microsoft war nicht in der Lage, den PDF- oder Adobe Reader RCE-Teil der Exploit-Kette zu erwerben, aber die Adobe Reader-Version des Opfers wurde im Januar 2022 veröffentlicht, was bedeutet, dass der verwendete Exploit entweder ein 1-Tages-Exploit war, der zwischen Januar und Mai entwickelt wurde, oder a 0-Day-Exploit. Basierend auf der umfangreichen Nutzung anderer 0-Days durch KNOTWEED gehen wir mit mittlerer Sicherheit davon aus, dass es sich bei Adobe Reader RCE um einen 0-Day-Exploit handelt. Der Windows-Exploit wurde von MSRC analysiert, als 0-Day-Exploit befunden und dann im Juli 2022 als CVE-2022-22047 gepatcht.

Der Angriff mit Subzero hat verschiedene Stadien die den Microsoft Defender-Erkennungsnamen bezeichnen: Jumplump für den persistenten Loader und Corelump für die Haupt-Malware. Microsoft hat dafür einen ausführlichen Blog-Beitrag mit viel technischer Beschreibung.

Mehr bei Microsoft.com

 


Über Microsoft Deutschland

Die Microsoft Deutschland GmbH wurde 1983 als deutsche Niederlassung der Microsoft Corporation (Redmond, U.S.A.) gegründet. Microsoft hat es sich zur Aufgabe gemacht, jede Person und jedes Unternehmen auf der Welt zu befähigen, mehr zu erreichen. Diese Herausforderung kann nur gemeinsam gemeistert werden, weshalb Diversität und Inklusion seit den Anfängen fest in der Unternehmenskultur verankert sind.

Als weltweit führender Hersteller von produktiven Softwarelösungen und modernen Services im Zeitalter von intelligent Cloud und intelligent Edge, sowie als Entwickler innovativer Hardware, versteht sich Microsoft als Partner seiner Kunden, um diesen zu helfen, von der digitalen Transformation zu profitieren. Sicherheit und Datenschutz haben bei der Entwicklung von Lösungen oberste Priorität. Als weltweit größter Beitragsgeber treibt Microsoft die Open-Source-Technologie über seine führende Entwicklerplattform GitHub voran. Mit LinkedIn, dem größten Karriere-Netzwerk, fördert Microsoft die berufliche Vernetzung weltweit.


 

Passende Artikel zum Thema

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

KI-Sicherheitsmemorandum in den USA

Die KI-Sicherheit steht an einem Wendepunkt. Das erste National Security Memorandum (NSM) für künstliche Intelligenz markiert einen wichtigen Meilenstein – ➡ Weiterlesen

Deutschland gibt über 10 Milliarden Euro für Cybersicherheit aus

Angesichts der zunehmenden Bedrohung durch Cyberangriffe investiert Deutschland verstärkt in IT-Sicherheit. Im laufenden Jahr steigen die entsprechenden Ausgaben um 13,8 ➡ Weiterlesen