Microsoft обвинила австрийскую компанию в создании малвари Subzero

Исследователи обнаружили, что Knotweed атакует европейские и центральноамериканские организации с помощью вредоносного инструментария Subzero. Microsoft подозревает в причастности к разработке DSIRF, которая рекламирует себя как компания, занимающаяся аналитикой, киберкриминалистикой, а также разведкой, связанной с данными. Subzero могут использовать клиенты DSIRF для взлома интересующих их телефонов, компьютеров и других устройств.

Ранее компания RiskIQ обнаружила, что инфраструктура, обслуживающая Subzero, может быть связана с DSIRF, включая официальный сайт и домены компании, которые, скорее всего, использовались для отладки и подготовки Subzero к работе. Аналитики Microsoft Threat Intelligence Center (MSTIC) также пишут о множественных связях между DSIRF и инструментами, которые используются в атаках Knotweed.

В качестве доказательств аналитики сообщили о C&C-инфраструктуре, используемой малварью, связи с DSIRF учетной записи GitHub, которую использовали в одной из атак, сертификате подписи кода, который был выдан DSIRF и применялся для подписи эксплоита. «В рамках исследования этого вредоносного ПО и общения Microsoft с пострадавшими от Subzero выяснилось, что жертвы не заказывали пентестинг или редтиминг, а это подтверждает, что это была несанкционированная и вредоносная деятельность», — заявляют эксперты Microsoft.