マイクロソフトは、ヨーロッパと中央アメリカのいくつかのWindowsとAdobeのゼロデイ標的組織の悪用を、あまり知られていないオーストリアのスパイウェアメーカーに関連付けました。
テクノロジーの巨人の脅威インテリジェンスおよびセキュリティ対応ユニットは、ウィーンを拠点とする情報収集会社、Decision Supporting Information Research Forensic、またはDSIRFとしてよく知られている「Knotweed」と呼ばれる脅威アクターに多数のサイバー攻撃を関連付けました。 DSIRFは、そのWebサイトで、2016年に設立されたと述べていますが、「テクノロジー、小売、エネルギー、金融セクターの多国籍企業にデータ駆動型インテリジェンスを提供」し、レッドチームテストを提供してきた20年以上の経験があると主張しています。ハッカーには、製品のテスト中にセキュリティの脆弱性を見つけて悪用する許可が与えられます。
マイクロソフトはその中で言った 報告 水曜日に、Knotweedは少なくとも2020年から活動しており、顧客が被害者のコンピューター、電話、ネットワークインフラストラクチャ、インターネットに接続されたデバイスにリモートでサイレントに侵入できるスパイウェア(Subzeroと呼ばれる)を開発しました。 Subzeroは、機能的にはNSO GroupのPegasusやCandiruのDevilsTongueスパイウェアに似ており、ジャーナリスト、活動家、人権擁護家を監視するために政府によってよく使用されます。
内部プレゼンテーションのコピーによると Netzpolitikが発行 2021年、DSIRFは、ターゲットのPCを完全に制御し、パスワードを盗み、そのリアルタイムの場所を明らかにすることができる「次世代サイバー戦争」ツールとしてSubzeroを宣伝しました。 報告書は、ロシア政府と関係があると報じられているDSIRFが、2016年の米国大統領選挙で使用するためのツールを宣伝したと主張しています。 報告書は、ドイツが警察と諜報機関による使用のためにサブゼロの購入と使用も検討していると述べています。
Microsoftは、Subzeroマルウェアの販売に加えて、DSIRF(別名Knotweed)が一部の攻撃で独自のインフラストラクチャを使用して観察されたことを指摘し、法律事務所、銀行、および既知の戦略的コンサルタントを含む被害者のターゲティングへのより直接的な関与を示唆しています。オーストリア、パナマ、および英国の犠牲者。
しかし、テクノロジーの巨人は、サブゼロの標的となった被害者に、「レッドチームや侵入テストを委託していない」こと、およびその活動が無許可で悪意のあるものであることを確認したと語った。
レポートによると、サブゼロは、WindowsとAdobeでの複数のゼロデイエクスプロイトを含む、いくつかのベクトルを通じて配布されています。 これには、最近パッチが適用されたものが含まれます CVE-2022-22047 欠陥、Windowsクライアントサーバーランタイムサブシステム(CSRSS)のバグ。これは、ログインしたユーザーよりも被害者のデバイスへのより高いレベルのアクセスを取得するために使用される可能性があります。 Microsoftは、2021年以来DSIRFが使用する少なくとも4つのゼロデイにパッチを適用したと述べた。
Knotweedは、悪意のあるマクロをExcelドキュメントに埋め込みました。これには、ミームを装った通常の外観であるが「異常に大きい」JPEG画像内に隠された第2段階のマルウェアが含まれていました。 マクロは、悪意のある攻撃者がマルウェアやランサムウェアを展開するためのアクセス権を取得するための一般的な方法ですが、最近、デフォルトでOfficeアプリでMicrosoftによってブロックされました。
この「異常に大きい」JPEGは、攻撃者のコマンドアンドコントロールサーバーからメインのスパイウェアバイナリをプルする第2段階のマルウェアになりすます。 画像クレジット:Microsoft
電話で連絡があったとき、DSIRFの担当者はTechCrunchにMicrosoftのレポートへの回答を提供すると述べたが、回答は報道時間までに提供されなかった。
これらの攻撃を防ぐために、Microsoftは、組織がCVE-2022-22047にパッチを適用し、ウイルス対策ソフトウェアを最新の状態に保ち、多要素認証を有効にすることをお勧めします。
技術の巨人はまた、スパイウェアメーカーに対してより多くの行動を取ることを求めており、DSIRFが明らかになる最後のサイバー傭兵ではないことを警告しています。
「私たちはますます見ています [private-sector offensive actors] 法の支配や人権規範に矛盾する行動をとる権威ある政府にツールを販売し、市民社会に関与する人権擁護者、ジャーナリスト、反対者などを標的にするために使用されます」と、マイクロソフトのデジタルセキュリティのゼネラルマネージャーであるクリスグッドウィンは述べています。単位。 「私たちは、監視技術の悪用から私たち全員が集合的に直面するリスクと虐待に議会が焦点を当てていることを歓迎し、ここ米国と世界中の他の場所の両方でそれらの使用を制限する規制を奨励します。」