Microsoft замечает кибер-наемников, использующих эксплойты Windows и Adobe Zero-Day

Microsoft замечает кибер-наемников, использующих эксплойты Windows и Adobe Zero-Day

Microsoft обнаружила доказательства того, что австрийская фирма по сбору информации DSIRF использовала эксплойты нулевого дня для вредоносного ПО Subzero.

По данным Microsoft, компания кибернаемников в Австрии, вероятно, использовала эксплойты нулевого дня в программном обеспечении Windows и Adobe для распространения вредоносного ПО среди жертв.

Microsoft сделала заявление в отчете в среду, которая связала атаки вредоносных программ с таинственной фирмой по сбору информации в Австрии под названием DSIRF. Редмонд утверждает, что DSIRF на самом деле является профессиональной хакерской компанией, которая продает клиентам доступ к своему вредоносному инструменту Subzero.

За последние два года Microsoft обнаружила распространяющееся на компьютеры вредоносное ПО Subzero с помощью ранее неизвестных уязвимостей как в Windows, так и в Adobe Reader. «На сегодняшний день наблюдаемые жертвы включают юридические фирмы, банки и стратегические консультанты в таких странах, как Австрия, Великобритания и Панама», — добавили в компании.

Еще в мае Microsoft обнаружила одну такую ​​атаку, которая заключалась в отправке вредоносного PDF-файла по электронной почте с целью заражения компьютера пользователя. PDF-файл был разработан для использования уязвимости в Adobe Reader для удаленного выполнения компьютерного кода на компьютере жертвы. Затем атака может повысить привилегии для запуска кода системного уровня, используя ранее неизвестную уязвимость в Windows, получившей название CVE-2022-22047, которую Microsoft исправила только в начале этого месяца.

Объединение двух уязвимостей вместе якобы позволило DSIRF загрузить и установить вредоносное ПО Subzero на компьютер жертвы. По данным Microsoft, основной компонент вредоносной программы позволяет ей регистрировать нажатия клавиш, делать снимки экрана, красть файлы и запускать дополнительные программы на захваченной машине.

Помимо использования PDF-файлов, Microsoft также обнаружила, что DSIRF использует документы Excel, содержащие вредоносные макросы, для тайного распространения Subzero.

Компания связывает атаки с DSIRF, ссылаясь на серверы и интернет-домены, с которыми связывалась вредоносная программа Subzero. RiskIQ, фирма по анализу угроз, которую Microsoft приобрела в прошлом году, смогла идентифицировать «множество дополнительных IP-адресов, находящихся под контролем» хакеров.

«В результате этого процесса были получены несколько доменов с прямыми ссылками на DSIRF, в том числе demo3[. ]dsirf[. ]eu (собственный веб-сайт компании), и несколько поддоменов, которые, по-видимому, использовались для разработки вредоносных программ, включая debugmex[. ]dsirflabs[. ]eu (вероятно, сервер, используемый для отладки вредоносного ПО с помощью специальной утилиты Mex) и szstaging[. ]dsirflabs[. ]eu (вероятно, сервер, используемый для размещения вредоносного ПО Subzero)», — заявили в Microsoft.

DSIRF не сразу ответил на запрос о комментарии. Тем временем Microsoft призывает клиентов уделить первоочередное внимание исправлению уязвимости Windows CVE-2022-22047 на своих компьютерах. Это можно сделать, установив последние обновления Windows.

Антивирус Microsoft Defender компании также был обновлен для обнаружения наличия вредоносного ПО Subzero. Однако Microsoft не удалось раскрыть точных сведений об уязвимости Adobe Reader, которая, по мнению компании со «средней степенью достоверности», остается публично неизвестной уязвимостью в программном обеспечении.