Knotweed

Microsoft erwischt österreichische Spyware-Gruppe

Microsoft hat einen österreichischen Anbieter für Spyware enttarnt, der sich zuvor als Sicherheitsfirma ausgegeben hat. Die Gruppe ist für die Subzero Malware verantwortlich.

News
VG Wort Pixel
CPU, RAM, Malware & Co.: PC-Probleme beheben - so geht's
Microsoft ist der Malware auf die Schliche gekommen.
© Altitude Visual / shutterstock.com

Update vom 03. August 2022: Österreichischer Staatsschutz prüft Vorwürfe von Microsoft

Vergangene Woche hatte Microsoft dem österreichischen Unternehmen DSIRF vorgeworfen, als Spyware-Gruppe Angriffe gegen europäische und mittelamerikanische Ziele durchgeführt zu haben. Nun prüft der österreichische Staatsschutz die Vorwürfe, wie "Futurezone" meldet. Bisher gebe es aber keine Hinweise darauf, dass DSIRF die Spyware mit dem Namen Subzero entsprechend einsetze.

Am Donnerstag hatte DSIRF gegenüber "Futurezone" zudem Stellung zu den Vorwürfen bezogen. Dabei lässt man verlauten, dass Subzero "ausschließlich zur behördlichen Anwendung in Staaten der EU" entwickelt worden sei." Man würde die Spyware weder gewerblich verkaufen noch zur Benutzung bereitstellen oder missbräuchlich einsetzen. Außerdem habe man eine interne Untersuchung zu den Betriebsabläufen rund um Subzero eingeleitet.

Originalmeldung vom 29. Juli 2022: Microsoft erwischt österreichische Spyware-Gruppe

Das Microsoft Threat Intelligence Center (MSTIC) und das Microsoft Security Response Center (MSRC) haben eine österreichische Spyware-Gruppe entdeckt, die Windows- und Adobe Zero-Day-Exploits für gezielte Angriffen gegen europäische und mittelamerikanische Kunden verwendet hat. Die Gruppierung wird von Microsoft als "Knotweed" bezeichnet, nennt sich selbst aber DSIRF und nutzt eine Malware namens Subzero, gegen die Microsoft nun vorgeht.

Knotweed sei nicht nur direkt an Angriffen beteiligt gewesen, sondern habe ihre Malware auch an Dritte weitergegeben, damit diese eigene Attacken durchführen können. Das erkannte das MSTIC anhand der beobachteten Angriffe. In den Jahren 2021 und 2022 habe es eine Vielzahl von Opfern gegeben, unter anderem Anwaltskanzleien, Banken und strategische Beratungsunternehmen in Ländern wie Österreich, Großbritannien und Panama.

Auf der eigenen Webseite gibt sich die DSIRF als Cyber Security Firma aus und bietet diverse Dienstleistungen zur Risikoanalyse an, die auf eine seriöse Firma hindeuten sollen. Microsoft hat allerdings mehrere Verbindungen zwischen DSIRF und den bei den Angriffen verwendeten Exploits und Schadprogrammen festgestellt. Dazu gehören die von der Malware verwendete Befehls- und Kontrollinfrastruktur, ein mit DSIRF verbundenes GitHub-Konto, ein auf DSIRF ausgestelltes Code-Signatur-Zertifikat und andere Open-Source-Nachrichtenberichte, die Subzero mit DSIRF in Verbindung bringen.

In der Vergangenheit verwendete Knotweed unter anderem eine Zero-Day-Lücke in der Adobe Reader Anwendung für die Verbreitung von Subzero. Die Exploits waren in einem PDF-Dokument verpackt, die Opfern per E-Mail zugesandt wurde. Außerdem nutzen sie die Sicherheitslücken CVE-2022-22047, CVE-2021-31199, CVE-2021-31201 und CVE-2021-28550 und CVE-2021-36948 aus, die von Microsoft bereits gepatched wurden.

Microsoft wird die Aktivitäten der Spyware-Gruppe weiterhin überwachen und Schutzmaßnahmen für seine Kunden implementieren. Kunden sollten auf mögliche bösartige Aktivitäten wie das Ausführen von PowerShell-Skripten von Internet-Speicherorten, die Änderung häufig missbrauchter Registrierungsschlüssel wie HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest und LSASS-Anmeldedaten-Dumping über Minidumps achten.

Außerdem wird empfohlen, die Installation der Microsoft-Sicherheitsupdates vom Juli 2022 zu beschleunigen, um ihre Systeme vor Angriffen mit CVE-2022-22047 zu schützen. Microsoft Defender Antivirus und Microsoft Defender for Endpoint haben ebenfalls Erkennungen gegen die Malware und Tools von Knotweed implementiert.

Frau nutzt einen Laptop, auf dem das Logo von Microsoft Office abgebildet ist.

Microsoft Office 365

Phishing-Kampagne hat Office-Nutzende im Visier

Wer Office 365 nutzt, könnte aktuell das Ziel einer Phishing-Kampagne werden. Dabei werden auch Konten mit aktiver 2FA Ziel der Angriffe.

3.8.2022 von Laura Pippig

Weiter zur Startseite  

Mehr zum Thema

Passwort-Manager Test 2021

Online-Sicherheit

Apple, Google und Microsoft fördern Login ohne Passwort

Große Unternehmen wie Apple, Google und Microsoft wollen zukünftig den Login ohne Passwort fördern. Als Alternative soll der erweiterte FIDO-Standard…

Microsoft Office Tipps

Wann kommt der Patch?

Office Sicherheitslücke: Schwachstelle "Follina"…

Die Sicherheitslücke "Follina" wurde von Microsoft bestätigt und erlaubt Angriffe auf PCs über Office-Dateien. Bisher gibt es keinen Patch.

Microsoft Edge Logo 2019

Update verfügbar

Edge-Browser: Warnung vor kritischer Sicherheitslücke

Eine Sicherheitslücke mit der Risikostufe hoch wurde in Edge entdeckt. Microsoft behebt die Schwachstelle im Browser per Update.

emotet trojaner schutz

Unternehmen in Gefahr

Microsoft: Mail-Dienste im Fokus von Phishing-Attacken

Eine Phishing-Kampagne setzt gezielte Attacken gegen Firmen ein, die Mail-Dienste von Microsoft nutzen. Das müssen Outlook-Nutzende beachten.

PS5 DualSense vs. Xbox Series X|S Controller.

Neue Studie

Konsolenkrieg: PS4 ist die beliebteste Konsole unter Gamern

Der Konsolenkrieg zwischen Sony und Microsoft herrscht schon lange. Doch welche Konsole ist wirklich beliebter, Xbox oder Playstation? Eine Studie…