微软已将欧洲和中美洲的几个 Windows 和 Adobe 零日攻击组织的利用与一家鲜为人知的奥地利间谍软件制造商联系起来。
这家技术巨头的威胁情报和安全响应部门已将许多网络攻击与它称为“Knotweed”的威胁行为者联系起来,后者更为人所知的是总部位于维也纳的情报收集公司、决策支持信息研究取证或 DSIRF。 DSIRF 在其网站上表示,它成立于 2016 年,但声称拥有超过 20 年的经验,“为技术、零售、能源和金融领域的跨国公司提供数据驱动的情报”,并提供红队测试,其中允许黑客在产品测试期间发现和利用安全漏洞。
微软在周三发布的报告中表示,Knotweed 至少自 2020 年以来一直活跃,并开发了名为 Subzero 的间谍软件,该软件允许其客户远程无声地侵入受害者的计算机、电话、网络基础设施和联网设备。 Subzero 在功能上类似于NSO Group 的 Pegasus和Candiru 的 DevilsTongue间谍软件,政府经常使用它来监视记者、活动家和人权捍卫者。
根据Netzpolitik 在 2021 年发布的一份内部演示文稿的副本,DSIRF 将 Subzero 宣传为“下一代网络战”工具,可以完全控制目标的 PC、窃取密码并显示其实时位置。该报告称,据报道与俄罗斯政府有联系的 DSIRF 宣传了其在2016 年美国总统大选期间使用的工具。该报告指出,德国也在考虑购买和使用 Subzero 供其警察和情报部门使用。
微软指出,除了出售 Subzero 恶意软件外,还观察到 DSIRF(又名 Knotweed)在一些攻击中使用自己的基础设施,这表明更直接地参与了针对受害者的活动,其中包括律师事务所、银行和战略咨询公司奥地利、巴拿马和英国的受害者。
但这家科技巨头表示,它已经与 Subzero 所针对的受害者确认,他们“没有委托任何红队或渗透测试”,并且该活动未经授权且是恶意的。
报告称,Subzero 通过多个向量分布,包括 Windows 和 Adobe 中的多个零日漏洞。这包括最近修补的CVE-2022-22047漏洞,这是 Windows 客户端-服务器运行时子系统 (CSRSS) 中的一个错误,可用于获得比登录用户更高级别的对受害者设备的访问权限。微软表示,自 2021 年以来,它已经修补了 DSIRF 使用的至少四个零日漏洞。
Knotweed 还在 Excel 文档中嵌入了恶意宏,其中包括隐藏在伪装成 meme 的普通但“异常大”的 JPEG 图像中的第二阶段恶意软件。宏是恶意行为者获取部署恶意软件和勒索软件的常用方法,但最近微软在 Office 应用程序中默认阻止了宏。
这种“异常大”的 JPEG 伪装成二级恶意软件,从攻击者的命令和控制服务器中提取主要的间谍软件二进制文件。图片来源:微软
当通过电话联系到 DSIRF 代表时,他们表示他们将向 TechCrunch 提供对微软报告的回应,但截至发稿时尚未提供回应。
为防御这些攻击,Microsoft 建议组织修补 CVE-2022-22047、保持防病毒软件为最新版本并启用多因素身份验证。
这家科技巨头还呼吁对间谍软件制造商采取更多行动,并警告说 DSIRF 不会是最后一个曝光的网络雇佣军。
“我们越来越多地看到 [私营部门攻击者] 将他们的工具出售给那些行为不符合法治和人权规范的威权政府,在那里他们被用来针对人权倡导者、记者、持不同政见者和其他参与民间社会的人,”微软数字安全部门总经理 Chris Goodwin 说。 “我们欢迎国会关注我们所有人因肆无忌惮地使用监视技术而共同面临的风险和滥用,并鼓励监管限制它们在美国和世界其他地方的使用。”
原文: https://techcrunch.com/2022/07/28/dsrif-spyware-windows-zero-day/