نشرت Microsoft تحليلاً لـ Knotweed، وهو ممثل هجومي من القطاع الخاص (PSOA) قام بتطوير واستخدام برنامج ضار يسمى Subzero لمهاجمة Windows بالإضافة إلى عملاء Adobe باستخدام عمليات استغلال متعددة لليوم صفر. وتعتزم الشركة استخدام التحليل لإبلاغ العملاء وشركاء الصناعة لتحسين اكتشاف هذه الهجمات. وتقول الشركة إن الثغرة، التي تضمنت الثغرة التي تم تصحيحها في التحديث الأمني لشهر يوليو 2022، تم استخدامها لاستهداف العملاء في أوروبا وأمريكا الوسطى.
عثر مركز Microsoft Threat Intelligence Center (MSTIC) ومركز الاستجابة الأمنية لـ Microsoft (MSRC) على PSOA ومقرها النمسا والتي كانت تنفذ هجمات محدودة وموجهة ضد عملاء في أوروبا وأمريكا الوسطى باستخدام برامج ضارة تسمى Subzero. يمكن استخدام البرامج الضارة لاختراق هواتف الأهداف وأجهزة الكمبيوتر والشبكات وكذلك الأجهزة المتصلة بالإنترنت.
وفقًا لمايكروسوفت، لم تكن Knotweed تبيع أدوات القرصنة لأطراف ثالثة فحسب، بل كانت تدير أيضًا عمليات مستهدفة. تمكنت الشركة المصنعة لنظام Windows من اكتشاف نموذجين للأعمال – الوصول كخدمة والاختراق مقابل الاستئجار – المرتبطين بـ “المرتزقة السيبرانية”.
وقالت مايكروسوفت: “في مجال الوصول كخدمة، تبيع PSOA أدوات القرصنة الشاملة التي يمكن للمشتري استخدامها في العمليات، مع عدم مشاركة PSOA في أي استهداف أو تشغيل للعملية”. في عملية الاختراق مقابل الاستئجار، يدير الممثل العمليات المستهدفة بناءً على المعلومات التفصيلية التي يقدمها المشتري. لاحظت Microsoft البنية التحتية المرتبطة بـ Knotweed في بعض الهجمات، مما يشير إلى مزيج من تكتيكات العمل التي يستخدمها مجرمو الإنترنت.
نقلاً عن رابط أرشيف الويب الخاص بـ DSIRF (الاسم الذي يُعرف به Knotweed علنًا)، تقول Microsoft إن MSTIC وجدت أن البرامج الضارة Subzero يتم نشرها من خلال مجموعة متنوعة من الأساليب، بما في ذلك عمليات استغلال يوم الصفر في Windows وAdobe Reader، في عامي 2021 و2022. وتقول إن ضحايا الهجمات يشملون شركات محاماة وبنوكًا وشركات استشارات استراتيجية في دول مثل النمسا وبنما والمملكة المتحدة.
وفقًا للموقع الإلكتروني، يقدم DSIRF خدمات استخباراتية تعتمد على البيانات في شكل أبحاث وأدلة جنائية للشركات.
تقول Microsoft إنها ستواصل مراقبة أنشطة Knotweed “وتنفيذ إجراءات الحماية لعملائنا”. وتشجع الشركة أيضًا على النشر السريع لتحديثات أمان Microsoft لشهر يوليو 2022 لحماية أنظمتها من عمليات الاستغلال. وقالت: “قامت Microsoft Defender Antivirus وMicrosoft Defender for Endpoint أيضًا بتنفيذ عمليات اكتشاف ضد البرامج الضارة والأدوات الخاصة بـ Knotweed”.