微軟旗下的多支安全和威脅情報團隊近日發出聯合報告,成功抓住一家銷售基於未曝光 Windows 漏洞間諜軟件的奧地利公司。本周三發表的一篇技術博文中,微軟威脅情報中心(MSTIC)披露了詳細細節,這與此前在一場聽證會上,微軟向美國眾議院情報委員會提交的商業間諜軟件和網絡安全調查報告內容相符。
這家間諜軟件開發商官方名稱叫做 DSIRF,不過在這篇博文中微軟以“KNOTWEED”代號進行追蹤,其製作的間諜軟件叫做 Subzero,用於針對英國、奧地利和巴拿馬的律師事務所、銀行和諮詢公司。
MSTIC 在深入分析后發現 DSIRF 攻擊系統所使用的漏洞,包括 1 個 Windows 零日權限提升漏洞和 1 個 Adobe Reader 遠程代碼執行攻擊。微軟表示 DSIRF 所使用的漏洞已經通過安全更新進行修復。
DSIRF 公司官方聲稱幫助多家跨國企業執行風險分析和洞察企業數據,不過微軟調查發現該公司在未經授權監管的情況下銷售間諜軟件。微軟在博文中寫道
MSTIC 已經發現了 DSIRF 中的多條鏈接,以及用於執行攻擊的漏洞和惡意軟件。其中包括直接連接到 DSIRF 的命令和控制基礎架構、在某次攻擊中和 DSIRF 關聯的 Github 賬號,用於簽署漏洞、由 DSIRF 發布的代碼簽署認證,以及歸結於 DSIRF 的其他關於 Subzero 的開源新聞。
