Microsoft hat ein österreichisches Unternehmen erwischt, das Spyware auf der Grundlage mehrerer Windows- und Adobe-Zero-Day-Exploits verkauft, um seine Kunden anzugreifen.Das Microsoft Threat Intelligence Center (MSTIC) und das Microsoft Security Response Center (MSRC) festgestellt, dass der Spyware-Entwickler – offiziell benannt DSIRF und mit dem Codenamen KNOTWEED—entwickelte eine Spyware namens ‚Unter Null“, mit dem Anwaltskanzleien, Banken und Beratungsunternehmen in Großbritannien, Österreich und Panama angesprochen wurden.
„Es ist wichtig zu beachten, dass die Identifizierung von Zielen in einem Land nicht unbedingt bedeutet, dass ein DSIRF-Kunde im selben Land ansässig ist, da internationales Targeting üblich ist“, sagte das Unternehmen in einem Blogbeitrag.MSTIC hat mehrere Verbindungen zwischen DSIRF und den bei diesen Angriffen verwendeten Exploits und Malware gefunden.Letzteres umfasst die Command-and-Control-Infrastruktur, die von der Malware verwendet wird und direkt mit DSIRF verknüpft ist; ein DSIRF-assoziiertes GitHub-Konto, das bei einem Angriff verwendet wird; ein an DSIRF ausgestelltes Codesignaturzertifikat, das zum Signieren eines Exploits verwendet wird; und andere Open-Source-Nachrichtenberichte, in denen Subzero DSIRF zugeschrieben wird.Solche Cyber-Söldner verkaufen Hacking-Tools oder -Dienste über eine Vielzahl von Geschäftsmodellen.Zwei gängige Modelle für diese Art von Akteur sind Access-as-a-Service und Hack-for-Hire.Bei Access-as-a-Service verkauft der Akteur vollständige End-to-End-Hacking-Tools, die vom Käufer im Betrieb verwendet werden können, mit dem privatwirtschaftlichen Offensivakteur (PSOA) nicht an der Ausrichtung oder Durchführung der Operation beteiligt.Beim Hack-for-Hire werden detaillierte Informationen vom Käufer an den Akteur übermittelt, der dann die gezielten Operationen durchführt.Das hat Microsoft gesagt Knöterich kann diese Modelle vermischen: Sie verkaufen die Subzero-Malware an Dritte, wurden aber bei einigen Angriffen auch bei der Verwendung von KNOTWEED-assoziierter Infrastruktur beobachtet, was auf eine direktere Beteiligung hindeutet.„Kunden werden ermutigt, die Bereitstellung der Microsoft-Sicherheitsupdates vom Juli 2022 zu beschleunigen, um ihre Systeme vor Exploits zu schützen“, riet das Unternehmen.