Diz-se que uma empresa vienense usou várias explorações de dia 0 para malware. Os especialistas da Microsoft rastrearam e avaliaram vários ataques. A empresa DSIRF - codinome Knotweed - quer ver "nada abusivo" nisso. O exploit Subzero definitivamente deve vir do DSIRF e provavelmente de um Trojan de estado desenvolvido.
Como já heise.de relatou, a Microsoft está reclamando da empresa vienense DSIRF, já que eles próprios usaram um Trojan de estado especialmente desenvolvido. Com o Subzero, vários alvos foram hackeados e monitorados desde fevereiro de 2020, como advogados ou bancos. A DSIRF não contesta esse fato, mas nega o uso indevido.
Subzero já usado desde 2020
Em uma apresentação publicitária, a DSIRF teria descrito como são suas áreas de negócios: biometria, preservação de evidências de TI, análise de eleições e campanhas eleitorais e guerra cibernética. Nesse sentido, diz-se que o Subzero Trojan foi anunciado como uma arma para a próxima geração de guerra online. portal oposto heise.de Subzero foi descrito como software para uso oficial nos países da UE. Um tanto complicado para um trojan de estado.
Em sua própria análise, a Microsoft descreve os ataques cibernéticos encontrados em 2021 e 2022. Por exemplo: “Em maio de 2022, o Microsoft Threat Intelligence Center (MSTIC) encontrou um Adobe Reader Remote Code Execution (RCE) e um 0-Day Windows Privilege Escalation Exploit Chain usado em um ataque que levou à implantação do Subzero”.
Microsoft Threat Intelligence Center realiza pesquisas
As explorações foram empacotadas em um documento PDF que foi enviado por e-mail para a vítima. A Microsoft não conseguiu adquirir o PDF ou Adobe Reader RCE parte da cadeia de exploração, mas a versão do Adobe Reader da vítima foi lançada em janeiro de 2022, o que significa que a exploração usada foi uma exploração de 1 dia desenvolvida entre janeiro e maio , ou uma exploração de 0 dias. Com base no uso extensivo de outros 0 dias pelo KNOTWEED, temos uma confiança razoável de que o Adobe Reader RCE é uma exploração de 0 dias. A exploração do Windows foi analisada pelo MSRC, considerada uma exploração de dia 0 e corrigida como CVE-2022-2022 em julho de 22047.
O ataque Subzero tem diferentes estágios denotando o nome de detecção do Microsoft Defender: Jumplump para o carregador persistente e Corelump para o malware principal. A Microsoft tem uma postagem de blog detalhada para isso com muita descrição técnica.
Mais em Microsoft.com
Sobre a Microsoft Alemanha A Microsoft Deutschland GmbH foi fundada em 1983 como subsidiária alemã da Microsoft Corporation (Redmond, EUA). A Microsoft está empenhada em capacitar cada pessoa e cada organização do planeta para alcançar mais. Esse desafio só pode ser superado em conjunto, por isso a diversidade e a inclusão estão firmemente ancoradas na cultura corporativa desde o início. Como fabricante líder mundial de soluções produtivas de software e serviços modernos na era da nuvem inteligente e borda inteligente, bem como desenvolvedora de hardware inovador, a Microsoft se vê como parceira de seus clientes para ajudá-los a se beneficiar da transformação digital. Segurança e privacidade são prioridades no desenvolvimento de soluções. Como o maior colaborador do mundo, a Microsoft impulsiona a tecnologia de código aberto por meio de sua plataforma de desenvolvimento líder, o GitHub. Com o LinkedIn, a maior rede de carreiras, a Microsoft promove o networking profissional em todo o mundo.