Кажуть, що віденська компанія використала кілька нульових експлойтів для шкідливих програм. Фахівці Microsoft відстежили та оцінили декілька атак. Компанія DSIRF під кодовою назвою Knotweed хоче, щоб у цьому не було «нічого образливого». Експлойт Subzero точно має походити від DSIRF і, ймовірно, від розвиненого державного трояна.
Як і раніше heise.de Як повідомлялося, Microsoft скаржиться на віденську компанію DSIRF, оскільки вона, як стверджується, сама використовувала спеціально розроблений державний троян. За допомогою Subzero з лютого 2020 року було зламано та відстежено кілька цілей, наприклад юристів чи банків. DSIRF не заперечує цей факт, але заперечує зловживання.
Subzero вже використовується з 2020 року
Кажуть, що в рекламній презентації DSIRF описала, як виглядають її бізнес-сфери: біометрія, збереження IT-доказів, аналіз виборів і виборчих кампаній, а також кібервійни. Таким чином, троян Subzero, як кажуть, рекламується як зброя для наступного покоління онлайн-війни. Навпроти порталу heise.de Subzero було описано як програмне забезпечення для офіційного використання в країнах ЄС. Дещо заплутане для державного трояна.
У своєму власному аналізі Microsoft описує кібератаки, виявлені в 2021 і 2022 роках. Наприклад: «У травні 2022 року Microsoft Threat Intelligence Center (MSTIC) виявив віддалене виконання коду Adobe Reader (RCE) і 0-денне підвищення привілеїв Windows Exploit Chain використовувався в атаці, яка призвела до розгортання Subzero».
Центр аналізу загроз Microsoft проводить дослідження
Експлойти були упаковані в PDF-документ, який було надіслано жертві електронною поштою. Корпорація Майкрософт не змогла придбати частину ланцюжка експлойтів PDF або Adobe Reader RCE, але версія жертви Adobe Reader була випущена в січні 2022 року, що означає, що використаний експлойт був одноденним експлойтом, розробленим у період з січня по травень , або 1-денний експлойт. Базуючись на широкому використанні KNOTWEED інших 0-days, ми маємо достатню впевненість, що Adobe Reader RCE є 0-day exploit. MSRC проаналізував експлойт Windows, визнав експлойт 0 днів, а потім виправив CVE-0-2022 у липні 2022 року.
Атака Subzero має різні етапи, що позначають назву виявлення Microsoft Defender: Jumplump для постійного завантажувача та Corelump для основного шкідливого програмного забезпечення. Корпорація Майкрософт має для цього докладну публікацію в блозі з великим технічним описом.
Більше на Microsoft.com
Про Microsoft Німеччина Microsoft Deutschland GmbH була заснована в 1983 році як німецька дочірня компанія Microsoft Corporation (Редмонд, США). Корпорація Майкрософт прагне надати можливість кожній людині та кожній організації на планеті досягти більшого. Цю проблему можна подолати лише разом, тому різноманітність і інклюзивність були міцно закріплені в корпоративній культурі з самого початку. Як провідний світовий виробник продуктивних програмних рішень і сучасних послуг в епоху інтелектуальної хмари та інтелектуального краю, а також розробник інноваційного апаратного забезпечення, Microsoft бачить себе партнером для своїх клієнтів, щоб допомогти їм отримати вигоду від цифрової трансформації. Безпека та конфіденційність є головними пріоритетами при розробці рішень. Як найбільший учасник у світі, Microsoft просуває технологію з відкритим кодом через свою провідну платформу розробників GitHub. За допомогою LinkedIn, найбільшої кар’єрної мережі, Microsoft сприяє розвитку професійних мереж у всьому світі.