Viyanalı bir şirketin kötü amaçlı yazılım için birkaç 0-day exploit kullandığı söyleniyor. Microsoft uzmanları birkaç saldırıyı izledi ve değerlendirdi. Knotweed kod adlı DSIRF şirketi, bu konuda "taciz edici hiçbir şey" görmek istemiyor. Subzero istismarı kesinlikle DSIRF'ten ve muhtemelen gelişmiş bir Truva Atı'ndan gelmelidir.
Eskisi gibi heise.de bildirildiğine göre Microsoft, kendilerinin özel olarak geliştirilmiş bir devlet Truva Atı kullandıkları söylendiği için Viyanalı DSIRF şirketinden şikayet ediyor. Subzero ile Şubat 2020'den bu yana avukatlar veya bankalar gibi birçok hedef hacklendi ve izlendi. DSIRF bu gerçeğe itiraz etmez, ancak kötüye kullanımı reddeder.
Subzero zaten 2020'den beri kullanılıyor
Bir reklam sunumunda DSIRF'in iş alanlarının nasıl göründüğünü açıkladığı söyleniyor: biyometri, BT kanıtlarının korunması, seçimlerin ve seçim kampanyalarının analizi ve siber savaş. Bu kapsamda, Subzero Trojan'ın yeni nesil çevrimiçi savaş için bir silah olarak ilan edildiği söyleniyor. Karşı portal heise.de Subzero, AB ülkelerinde resmi kullanıma yönelik bir yazılım olarak tanımlanıyordu. Bir devlet truva atı için biraz karmaşık.
Microsoft kendi analizinde 2021 ve 2022'de bulunan siber saldırıları anlatıyor. Örneğin: “Microsoft Tehdit İstihbarat Merkezi (MSTIC), Mayıs 2022'de bir Adobe Reader Uzaktan Kod Yürütme (RCE) ve 0 Günlük Windows Ayrıcalık Yükseltmesi buldu. Subzero'nun konuşlandırılmasına yol açan bir saldırıda kullanılan İstismar Zinciri”.
Microsoft Tehdit İstihbarat Merkezi araştırma yürütüyor
İstismarlar, kurbana e-postayla gönderilen bir PDF belgesinde paketlendi. Microsoft, istismar zincirinin PDF veya Adobe Reader RCE bölümünü elde edemedi, ancak kurbanın Adobe Reader sürümü Ocak 2022'de yayınlandı, bu da kullanılan istismarın ya Ocak ve Mayıs arasında geliştirilen 1 günlük bir istismar olduğu anlamına geliyor. veya 0 günlük bir istismar. KNOTWEED'in diğer 0-günleri kapsamlı şekilde kullanmasına dayanarak, Adobe Reader RCE'nin 0-günlük bir istismar olduğuna dair makul bir güvenimiz var. Windows istismarı, MSRC tarafından analiz edildi, 0 günlük bir istismar olduğu bulundu ve ardından Temmuz 2022'de CVE-2022-22047 olarak yamalandı.
Subzero saldırısının Microsoft Defender algılama adını gösteren farklı aşamaları vardır: kalıcı yükleyici için Jumplump ve ana kötü amaçlı yazılım için Corelump. Microsoft'un bunun için birçok teknik açıklama içeren ayrıntılı bir blog gönderisi var.
Microsoft.com'da daha fazlası
Microsoft Almanya Hakkında Microsoft Deutschland GmbH, 1983 yılında Microsoft Corporation'ın (Redmond, ABD) Almanya'daki yan kuruluşu olarak kuruldu. Microsoft, gezegendeki her kişiyi ve her kuruluşu daha fazlasını başarması için güçlendirmeye kararlıdır. Bu zorluğun üstesinden ancak birlikte gelinebilir, bu nedenle çeşitlilik ve kapsayıcılık en başından beri kurum kültürüne sıkı sıkıya bağlıdır. Akıllı bulut ve akıllı uç çağında üretken yazılım çözümleri ve modern hizmetlerin dünyanın önde gelen üreticisi ve yenilikçi donanım geliştiricisi olarak Microsoft, dijital dönüşümden yararlanmalarına yardımcı olmak için müşterilerini bir ortak olarak görüyor. Çözüm geliştirirken güvenlik ve gizlilik en önemli önceliklerdir. Dünyanın en büyük katkı sağlayıcısı olan Microsoft, önde gelen geliştirici platformu GitHub aracılığıyla açık kaynak teknolojisini kullanıyor. En büyük kariyer ağı olan LinkedIn ile Microsoft, dünya çapında profesyonel ağ oluşturmayı destekler.