Knotweed
Microsoft erwischt österreichische Spyware-Gruppe
Microsoft hat einen österreichischen Anbieter für Spyware enttarnt, der sich zuvor als Sicherheitsfirma ausgegeben hat. Die Gruppe ist für die Subzero Malware verantwortlich.
Update vom 03. August 2022: Österreichischer Staatsschutz prüft Vorwürfe von MicrosoftVergangene Woche hatte Microsoft dem österreichischen Unternehmen DSIRF vorgeworfen, als Spyware-Gruppe Angriffe gegen europäische und mittelamerikanische Ziele durchgeführt zu haben. Nun prüft der österrei...
Update vom 03. August 2022: Österreichischer Staatsschutz prüft Vorwürfe von Microsoft
Vergangene Woche hatte Microsoft dem österreichischen Unternehmen DSIRF vorgeworfen, als Spyware-Gruppe Angriffe gegen europäische und mittelamerikanische Ziele durchgeführt zu haben. Nun prüft der österreichische Staatsschutz die Vorwürfe, wie "Futurezone" meldet. Bisher gebe es aber keine Hinweise darauf, dass DSIRF die Spyware mit dem Namen Subzero entsprechend einsetze.
Am Donnerstag hatte DSIRF gegenüber "Futurezone" zudem Stellung zu den Vorwürfen bezogen. Dabei lässt man verlauten, dass Subzero "ausschließlich zur behördlichen Anwendung in Staaten der EU" entwickelt worden sei." Man würde die Spyware weder gewerblich verkaufen noch zur Benutzung bereitstellen oder missbräuchlich einsetzen. Außerdem habe man eine interne Untersuchung zu den Betriebsabläufen rund um Subzero eingeleitet.
Originalmeldung vom 29. Juli 2022: Microsoft erwischt österreichische Spyware-Gruppe
Das Microsoft Threat Intelligence Center (MSTIC) und das Microsoft Security Response Center (MSRC) haben eine österreichische Spyware-Gruppe entdeckt, die Windows- und Adobe Zero-Day-Exploits für gezielte Angriffen gegen europäische und mittelamerikanische Kunden verwendet hat. Die Gruppierung wird von Microsoft als "Knotweed" bezeichnet, nennt sich selbst aber DSIRF und nutzt eine Malware namens Subzero, gegen die Microsoft nun vorgeht.
Knotweed sei nicht nur direkt an Angriffen beteiligt gewesen, sondern habe ihre Malware auch an Dritte weitergegeben, damit diese eigene Attacken durchführen können. Das erkannte das MSTIC anhand der beobachteten Angriffe. In den Jahren 2021 und 2022 habe es eine Vielzahl von Opfern gegeben, unter anderem Anwaltskanzleien, Banken und strategische Beratungsunternehmen in Ländern wie Österreich, Großbritannien und Panama.
Auf der eigenen Webseite gibt sich die DSIRF als Cyber Security Firma aus und bietet diverse Dienstleistungen zur Risikoanalyse an, die auf eine seriöse Firma hindeuten sollen. Microsoft hat allerdings mehrere Verbindungen zwischen DSIRF und den bei den Angriffen verwendeten Exploits und Schadprogrammen festgestellt. Dazu gehören die von der Malware verwendete Befehls- und Kontrollinfrastruktur, ein mit DSIRF verbundenes GitHub-Konto, ein auf DSIRF ausgestelltes Code-Signatur-Zertifikat und andere Open-Source-Nachrichtenberichte, die Subzero mit DSIRF in Verbindung bringen.
In der Vergangenheit verwendete Knotweed unter anderem eine Zero-Day-Lücke in der Adobe Reader Anwendung für die Verbreitung von Subzero. Die Exploits waren in einem PDF-Dokument verpackt, die Opfern per E-Mail zugesandt wurde. Außerdem nutzen sie die Sicherheitslücken CVE-2022-22047, CVE-2021-31199, CVE-2021-31201 und CVE-2021-28550 und CVE-2021-36948 aus, die von Microsoft bereits gepatched wurden.
Microsoft wird die Aktivitäten der Spyware-Gruppe weiterhin überwachen und Schutzmaßnahmen für seine Kunden implementieren. Kunden sollten auf mögliche bösartige Aktivitäten wie das Ausführen von PowerShell-Skripten von Internet-Speicherorten, die Änderung häufig missbrauchter Registrierungsschlüssel wie HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest und LSASS-Anmeldedaten-Dumping über Minidumps achten.
Außerdem wird empfohlen, die Installation der Microsoft-Sicherheitsupdates vom Juli 2022 zu beschleunigen, um ihre Systeme vor Angriffen mit CVE-2022-22047 zu schützen. Microsoft Defender Antivirus und Microsoft Defender for Endpoint haben ebenfalls Erkennungen gegen die Malware und Tools von Knotweed implementiert.
