Microsoft: Subzero wohl als Staats-Trojaner entwickelt 

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Eine Wiener Firma soll mehrere 0-Day-Exploits für Malware genutzt haben. Die Spezialisten von Microsoft verfolgten mehrere Angriffe und werteten sie aus. Die Firma DSIRF – mit dem Codenamen Knotweed – will dabei „nichts Missbräuchliches“ sehen. Der Exploit ​Subzero soll definitiv von DSIRF stammen und wohl ein entwickelter Staats-Trojaner.

Wie bereits heise.de berichtete, beschwert sich Microsoft über die Wiener Firma DSIRF, da diese einen speziell entwickelten Staats-Trojaner selbst eingesetzt haben soll. Mit Subzero sollen bereits seit Februar 2020 mehrere Ziele gehackt und überwacht worden sein, wie Anwälte oder Banken. Diese Tatsache stellt DSIRF wohl nicht in Abrede, bestreitet dabei aber einen missbräuchlichen Einsatz.

Anzeige

Subzero bereits seit 2020 benutzt

In einer Werbepräsentation soll DSIRF beschrieben haben, wie seine Geschäftsfelder aussehen: Biometrie, IT-Beweissicherung, Analyse von Wahlen und Wahlkämpfen, sowie Cyber Warfare. In diesem Umfang soll der Trojaner Subzero als Waffe für die nächste Generation der Online-Kriegsführung beworben worden sein. Gegenüberdem Portal heise.de wurde Subzero als Software zur behördlichen Anwendung in Staaten der EU umschrieben. Etwas verklausuliert für einen Staats-Trojaner.

Microsoft beschreibt in seiner eigenen Analyse die gefundenen Cyber-Angriffe in 2021 und 2022. So etwa: „Im Mai 2022 fand das Microsoft Threat Intelligence Center (MSTIC) eine Adobe Reader Remote Code Execution (RCE) und eine 0-Day Windows Privilege Escalation Exploit Chain, die bei einem Angriff verwendet wurden, der zur Bereitstellung von Subzero führte“.

Anzeige
WatchGuard_Banner_0922

Microsoft Threat Intelligence Center forscht

Die Exploits wurden in ein PDF-Dokument verpackt, das dem Opfer per E-Mail zugeschickt wurde. Microsoft war nicht in der Lage, den PDF- oder Adobe Reader RCE-Teil der Exploit-Kette zu erwerben, aber die Adobe Reader-Version des Opfers wurde im Januar 2022 veröffentlicht, was bedeutet, dass der verwendete Exploit entweder ein 1-Tages-Exploit war, der zwischen Januar und Mai entwickelt wurde, oder a 0-Day-Exploit. Basierend auf der umfangreichen Nutzung anderer 0-Days durch KNOTWEED gehen wir mit mittlerer Sicherheit davon aus, dass es sich bei Adobe Reader RCE um einen 0-Day-Exploit handelt. Der Windows-Exploit wurde von MSRC analysiert, als 0-Day-Exploit befunden und dann im Juli 2022 als CVE-2022-22047 gepatcht.

Der Angriff mit Subzero hat verschiedene Stadien die den Microsoft Defender-Erkennungsnamen bezeichnen: Jumplump für den persistenten Loader und Corelump für die Haupt-Malware. Microsoft hat dafür einen ausführlichen Blog-Beitrag mit viel technischer Beschreibung.

Mehr bei Microsoft.com

 


Über Microsoft Deutschland

Die Microsoft Deutschland GmbH wurde 1983 als deutsche Niederlassung der Microsoft Corporation (Redmond, U.S.A.) gegründet. Microsoft hat es sich zur Aufgabe gemacht, jede Person und jedes Unternehmen auf der Welt zu befähigen, mehr zu erreichen. Diese Herausforderung kann nur gemeinsam gemeistert werden, weshalb Diversität und Inklusion seit den Anfängen fest in der Unternehmenskultur verankert sind.

Als weltweit führender Hersteller von produktiven Softwarelösungen und modernen Services im Zeitalter von intelligent Cloud und intelligent Edge, sowie als Entwickler innovativer Hardware, versteht sich Microsoft als Partner seiner Kunden, um diesen zu helfen, von der digitalen Transformation zu profitieren. Sicherheit und Datenschutz haben bei der Entwicklung von Lösungen oberste Priorität. Als weltweit größter Beitragsgeber treibt Microsoft die Open-Source-Technologie über seine führende Entwicklerplattform GitHub voran. Mit LinkedIn, dem größten Karriere-Netzwerk, fördert Microsoft die berufliche Vernetzung weltweit.


 

Passende Artikel zum Thema

Entspannung beim Fachkräftemangel in der IT-Sicherheit

Die Welt steht still, so scheint es, doch der Schein trügt. Wie für so viele IT-Themen gehören auch Managed Security ➡ Weiterlesen

Forscher decken Angriffe auf europäische Luftfahrt- und Rüstungskonzerne auf

ESET-Forscher decken gezielte Angriffe gegen hochkarätige europäische Luftfahrt- und Rüstungskonzerne auf. Gemeinsame Untersuchung in Zusammenarbeit mit zwei der betroffenen europäischen Unternehmen ➡ Weiterlesen

Trends und Tipps zur Weiterentwicklung moderner CISOs

Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft "Building the Future of Security Leadership"(Aufbau künftiger Sicherheitsexperten). ➡ Weiterlesen

Java-Malware kopiert Passwörter

G Data-Forscher decken auf: Java-Malware kopiert Passwörter und ermöglicht auch noch die Fernsteuerung via RDP. Eine in Java entwickelte neu ➡ Weiterlesen

Vertrauen auf VPN für den sicheren Zugriff

SANS Institute, ein Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Untersuchung „Remote Worker Poll“ zur Verbreitung von Home Office Security ➡ Weiterlesen

Hackergruppe gibt auf und veröffentlicht Schlüssel

Manchmal beschleicht wohl auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an ➡ Weiterlesen

Bösartige Chrome Extensions führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten ➡ Weiterlesen

Was das „neue Normal“ für die Cloud-Sicherheit bedeutet

Die Corona-Krise hat nicht nur gezeigt, wie wichtig Cloud-Services für Unternehmen sind. Nach der Krise soll es ein „neues Normal“ ➡ Weiterlesen