微軟的威脅情報中心(MSTIC)聲稱它抓住了一家奧地利公司銷售間諜軟件的證據,該惡意軟件實現了針對律師事務所、銀行和諮詢公司的未獲授權的監視任務。微軟為此發表了一篇詳細的博客,聲稱一家名為DSIRF的奧地利公司開發並銷售名為SubZero的間諜軟件,微軟方面將其稱為Knotweed。
MSTIC已經發現DSIRF與這些攻擊中使用的漏洞和惡意軟件之間有多種聯繫。其中包括惡意軟件使用的命令和控制基礎設施直接與DSIRF相連,一個與DSIRF有關的GitHub賬戶被用於一次攻擊,一個發給DSIRF的代碼簽名證書被用於簽署一個漏洞,以及其他開源新聞報道將SubZero歸於DSIRF。
攻擊是通過一個通過電子郵件發送特別設計后的PDF文件傳播的,結合一個0day Windows漏洞,該攻擊獲得了目標機器上的高級別權限。SubZero同時本身是一個rootkit,可以對被攻擊的系統進行完全控制。
DSIRF可以利用以前未知的Windows 0day特權升級漏洞和Adobe Reader遠程代碼執行攻擊來破壞系統,微軟將該安全漏洞標記為CVE ID CVE-2022-22047,並已確認該漏洞已被修補。
在商業基礎上開發和部署惡意軟件的公司被稱為私營部門攻擊者(PSOA),微軟也將其稱為”網絡雇傭兵”。DSIRF很可能是將其間諜軟件作為訪問即服務和黑客雇傭來提供。微軟表示,該公司沒有參與任何目標或行動的運行。
DSIRF網站的一個存檔副本指出,該公司為”技術、零售、能源和金融領域的跨國公司”提供服務。該公司擁有”一套收集和分析信息的高度精密技術”。
該網站還提到該公司可以”通過提供對個人和實體的深入了解,進行強化的盡職調查和風險分析過程”。它有”高度複雜的紅藍隊演練來挑戰目標公司最關鍵的資產”。
微軟通過其提交給”打擊外國商業間諜軟件擴散對美國國家安全的威脅”聽證會的書面證詞文件,基本上重複了上述信息。
了解更多:
Untangling KNOTWEED: European private-sector offensive actor using 0-day exploits