Knotweed kampány
A Microsoft egy Knotweed néven azonosított kampányt üzemeltető csoportot összekapcsolt egy osztrák vállalttal, a DSIRF-el, amely a honlapja szerint kiberhírszerzési szolgáltatásokat biztosít ügyfeleinek, valójában valószínűleg kiberkémkedéssel foglalkozik. A vállalt egyik azonosított eszköze a Subzero nevű kártevő-eszközkészlet, amellyel feltörhetik a célpontok telefonjait, számítógépeit, valamint hálózatra és internetre csatlakozó eszközeit.
A Knotweed-támadások kivizsgálása során a RiskIQ fenyegetés-felderítő cég azt is megállapította, hogy a rosszindulatú programokat 2020 februárja óta aktívan kiszolgáló infrastruktúra kapcsolódik a DSIRF-hez, közte weboldalakat és a valószínűleg a Subzero malware terjesztésére és telepítésére használt domaineket.
A Microsoft Threat Intelligence Center (MSTIC) több kapcsolatot is talált a DSIRF és a Knotweed támadásaiban használt rosszindulatú eszközök között. A Microsoft által megfigyelt néhány Knotweed-támadás ügyvédi irodákat, bankokat és stratégiai tanácsadó szervezeteket vett célba világszerte, így Ausztriában, az Egyesült Királyságban és Panamában. Ezek a cégek nem rendeltek meg sérülékenységvizsgálatot, vagy pentesztet, így a Microsoft szerint jogosulatlanul hatoltak be a hálózatukba.
A Subzero több funkcióval rendelkezik, képes a billentyűnaplózásra, a képernyőképek rögzítésére, az adatok szűrésére, valamint a parancs- és vezérlőkiszolgálóról letöltött távoli parancsok és tetszőleges bővítmények futtatására.
A Knotweed-kampány során 2022 májusában egy Adobe Reader távoli kódvégrehajtást (RCE) és egy Windows privilégium-eszkalációs kihasználási láncot talált egy olyan támadásban. A kódokat PDF fájlokba csomagolták, amelyet e-mailben küldtek el az áldozatnak, de azonosítottak Excel fált is, amiben a makrókal manipuláltak.
A Knotweed-kampányokban használt nulladik napi sérülékenységek közül a Microsoft kiemeli a nemrégiben javított CVE-2022-22047-et, amely segített a támadóknak a jogosultságok emelésében, a sandbox környezetek elkerülésében és a rendszerszintű kódvégrehajtásban.