Microsoft: Subzero wohl als Staats-Trojaner entwickelt 

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Eine Wiener Firma soll mehrere 0-Day-Exploits für Malware genutzt haben. Die Spezialisten von Microsoft verfolgten mehrere Angriffe und werteten sie aus. Die Firma DSIRF – mit dem Codenamen Knotweed – will dabei “nichts Missbräuchliches” sehen. Der Exploit ​Subzero soll definitiv von DSIRF stammen und wohl ein entwickelter Staats-Trojaner.

Wie bereits heise.de berichtete, beschwert sich Microsoft über die Wiener Firma DSIRF, da diese einen speziell entwickelten Staats-Trojaner selbst eingesetzt haben soll. Mit Subzero sollen bereits seit Februar 2020 mehrere Ziele gehackt und überwacht worden sein, wie Anwälte oder Banken. Diese Tatsache stellt DSIRF wohl nicht in Abrede, bestreitet dabei aber einen missbräuchlichen Einsatz.

Anzeige

Subzero bereits seit 2020 benutzt

In einer Werbepräsentation soll DSIRF beschrieben haben, wie seine Geschäftsfelder aussehen: Biometrie, IT-Beweissicherung, Analyse von Wahlen und Wahlkämpfen, sowie Cyber Warfare. In diesem Umfang soll der Trojaner Subzero als Waffe für die nächste Generation der Online-Kriegsführung beworben worden sein. Gegenüberdem Portal heise.de wurde Subzero als Software zur behördlichen Anwendung in Staaten der EU umschrieben. Etwas verklausuliert für einen Staats-Trojaner.

Microsoft beschreibt in seiner eigenen Analyse die gefundenen Cyber-Angriffe in 2021 und 2022. So etwa: “Im Mai 2022 fand das Microsoft Threat Intelligence Center (MSTIC) eine Adobe Reader Remote Code Execution (RCE) und eine 0-Day Windows Privilege Escalation Exploit Chain, die bei einem Angriff verwendet wurden, der zur Bereitstellung von Subzero führte”.

Anzeige

Microsoft Threat Intelligence Center forscht

Die Exploits wurden in ein PDF-Dokument verpackt, das dem Opfer per E-Mail zugeschickt wurde. Microsoft war nicht in der Lage, den PDF- oder Adobe Reader RCE-Teil der Exploit-Kette zu erwerben, aber die Adobe Reader-Version des Opfers wurde im Januar 2022 veröffentlicht, was bedeutet, dass der verwendete Exploit entweder ein 1-Tages-Exploit war, der zwischen Januar und Mai entwickelt wurde, oder a 0-Day-Exploit. Basierend auf der umfangreichen Nutzung anderer 0-Days durch KNOTWEED gehen wir mit mittlerer Sicherheit davon aus, dass es sich bei Adobe Reader RCE um einen 0-Day-Exploit handelt. Der Windows-Exploit wurde von MSRC analysiert, als 0-Day-Exploit befunden und dann im Juli 2022 als CVE-2022-22047 gepatcht.

Der Angriff mit Subzero hat verschiedene Stadien die den Microsoft Defender-Erkennungsnamen bezeichnen: Jumplump für den persistenten Loader und Corelump für die Haupt-Malware. Microsoft hat dafür einen ausführlichen Blog-Beitrag mit viel technischer Beschreibung.

Mehr bei Microsoft.com

 


Über Microsoft Deutschland

Die Microsoft Deutschland GmbH wurde 1983 als deutsche Niederlassung der Microsoft Corporation (Redmond, U.S.A.) gegründet. Microsoft hat es sich zur Aufgabe gemacht, jede Person und jedes Unternehmen auf der Welt zu befähigen, mehr zu erreichen. Diese Herausforderung kann nur gemeinsam gemeistert werden, weshalb Diversität und Inklusion seit den Anfängen fest in der Unternehmenskultur verankert sind.

Als weltweit führender Hersteller von produktiven Softwarelösungen und modernen Services im Zeitalter von intelligent Cloud und intelligent Edge, sowie als Entwickler innovativer Hardware, versteht sich Microsoft als Partner seiner Kunden, um diesen zu helfen, von der digitalen Transformation zu profitieren. Sicherheit und Datenschutz haben bei der Entwicklung von Lösungen oberste Priorität. Als weltweit größter Beitragsgeber treibt Microsoft die Open-Source-Technologie über seine führende Entwicklerplattform GitHub voran. Mit LinkedIn, dem größten Karriere-Netzwerk, fördert Microsoft die berufliche Vernetzung weltweit.


 

Passende Artikel zum Thema

Cyberattacke auf Helmholtz Zentrum München

Bereits am 15. März war das Helmholtz Zentrum München erst einmal nicht mehr zu erreichen. Eine Cyberattacke hatte alles lahmgelegt. ➡ Weiterlesen

Security: BSI-Handbuch für Unternehmensleitung

Das BSI verteilt das neue international erscheinende Handbuch „Management von Cyber-Risiken“ für die Unternehmensleitung. Das mit der Internet Security Alliance ➡ Weiterlesen

Ransomware: Attacke auf Schweizer Medienverlag und NZZ

Die Neue Züricher Zeitung - NZZ meldete vor ein paar Tagen eine Attacke auf ihr Netzwerk und konnte daher nicht ➡ Weiterlesen

Chinesische Cyberangreifer zielen auf Zero-Day-Schwachstellen

Gefundene Zero-Day-Schwachstellen werden oft von einzelnen APT-Gruppen ausgenutzt. Laut Mandiant greifen chinesische Cyberangreifer immer mehr Zero-Day-Schwachstellen an. Der Bericht belegt ➡ Weiterlesen

Verwundbarkeit durch Cloud Bursting

Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es ➡ Weiterlesen

Chrome dichtet 7 hochgefährliche Lücken ab

Das Bug-Bounty-Programm von Chrome lohnt sich: Programmierer und Spezialisten haben 7 hochgefährliche Sicherheitslücken an Google gemeldet und eine Belohnung erhalten. ➡ Weiterlesen

Outlook-Angriff funktioniert ohne einen Klick!

Selbst das BSI warnt vor der Schwachstelle CVE-2023-23397 in Outlook, da diese sogar ohne einen einzigen Klick eines Anwenders ausnutzbar ➡ Weiterlesen

USB-Wurm wandert über drei Kontinente

Die längst verstaubt geglaubte Masche eines USB-Sticks mit Schadsoftware wurde tatsächlich noch einmal aus der Cybercrime-Kiste geholt. Der bekannte Wurm ➡ Weiterlesen