Microsoft Threat Intelligence Center связывает Threat Group с австрийским поставщиком шпионского ПО DSRIF
Microsoft связала группу угроз Knotweed с австрийским поставщиком шпионского ПО. До сих пор группа использовала вредоносное ПО, получившее название SubZero, для атак на группы в Европе и Центральной Америке. Данное ВПО Subzero может использоваться для взлома телефона, компьютеров, сети и устройств, подключенных к Интернету.
DSRIF позиционирует себя как компания, которая предоставляет корпорациям информационные исследования, криминалистику и разведывательные услуги на основе данных. Но Microsoft обнаружила множество ассоциаций между двумя явно непохожими группами, которые устанавливают конкретную связь. В компании заявили:
«К ним относятся инфраструктура управления и контроля, используемая вредоносной программой с DSIRF, связанная с DSIRF учетная запись GitHub, используемая в одной атаке, сертификат подписи кода, выданный DSIRF, используемый для подписи эксплойта, и другие новости с открытым исходным кодом. сообщает, что Subzero приписывается DSIRF.
На сегодняшний день наблюдаемые жертвы включают юридические фирмы, банки и стратегические консультанты в таких странах, как Австрия, Великобритания и Панама».
В 2021 году группа киберпреступников была связана с эксплуатацией четвертого нулевого дня, уязвимости повышения привилегий Windows в службе Windows Update Medic (CVE-2021-36948), которая использовалась для принуждения службы к загрузке произвольной подписанной DLL.
Кристин Гудвин, генеральный менеджер Microsoft Digital Security Unit, прокомментировала:
«Чтобы ограничить эти атаки, мы выпустили обновление программного обеспечения, чтобы смягчить использование уязвимостей, и опубликовали сигнатуры вредоносных программ, которые защитят пользователей Windows от эксплойтов, которые Knotweed использовала для доставки своего вредоносного ПО.
Мы все чаще наблюдаем, как PSOA продают свои инструменты авторитарным правительствам, которые действуют вразрез с верховенством закона и нормами прав человека, где они используются для нападения на правозащитников, журналистов, диссидентов и других представителей гражданского общества».
