微软揭露奥地利公司利用Windows和Adobe Zero Day漏洞

一个“表面上向商业客户销售一般安全和信息分析服务”的网络雇佣兵使用了几个Windows和Adobe zero day漏洞，对欧洲和中美洲实体进行了有限且具有高度针对性的攻击。

微软称该公司是一家名为DSIRF的奥地利公司，是一家私营部门攻击性公司（PSOA），该公司与开发并试图销售一种称为“DSIRF”的网络武器有关零下，可用于攻击目标的手机、电脑和互联网连接设备。

这家科技巨头的网络安全团队在周三的一份报告中表示：“迄今为止，观察到的受害者包括奥地利、英国和巴拿马等国的律师事务所、银行和战略咨询公司”。

微软正在用KNOTWEED这个名字追踪这位演员，继续使用树木和灌木的名字命名腰大肌。该公司此前将SOURGUM的名字指定给以色列间谍软件供应商Candiru。

KNOTWEED以涉足接入即服务和出租黑客业务而闻名，向第三方提供其工具集，并直接参与某些攻击。

前者需要销售端到端的黑客工具，购买者可以在自己的操作中使用这些工具，而无需冒犯行为人的参与，而黑客雇佣组织则代表其客户运营目标操作。

Subzero的部署据说是通过利用多个问题来实现的，包括利用Adobe Reader远程代码执行（RCE）缺陷的漏洞链和零日权限提升漏洞（CVE-2022-22047），后者是微软在7月份的补丁周二更新中解决的。

“CVE-2022-22047用于KNOTWEED相关的攻击以提升权限。该漏洞还提供了逃离沙盒和实现系统级代码执行的能力，”微软解释道。

2021观察到的类似攻击链结合了两种Windows权限提升漏洞（CVE-2021-31199和CVE-2021-31201）和Adobe reader漏洞（CVE-2021-28550）。这三个漏洞于2021 6月得到解决。

Subzero的部署随后通过第四次利用漏洞进行，这一次利用了Windows Update Medic服务（CVE-2021-36948）中的权限提升漏洞，该服务于2021 8月被Microsoft关闭。

无论采用何种方法，入侵都以执行外壳代码而告终，外壳代码用于以JPEG图像的形式从远程服务器检索称为Corelump的第二阶段有效载荷，该图像还嵌入名为Jumplump的加载程序，该加载程序反过来将CoreLumb加载到内存中。

evasive implant具有广泛的功能，包括键盘记录、捕获屏幕截图、过滤文件、运行远程shell以及运行从远程服务器下载的任意插件。

微软表示，自2020年2月以来，它通过DigitalOcean和Choopa上托管的基础设施，发现KNOTWEED积极服务于恶意软件，同时识别用于恶意软件开发、调试Mex和暂存Subzero负载的子域。

在DSIRF和KNOTWEED攻击中使用的恶意工具之间也发现了多个链接。

Redmond指出：“这些包括直接链接到DSIRF的恶意软件使用的命令和控制基础设施、一次攻击中使用的与DSIRF相关的GitHub帐户、向DSIRF颁发的代码签名证书用于对漏洞进行签名，以及其他将Subzero归因于DSIRF的开源新闻报道”。

如果说有什么不同的话，最新的发现突显了这种先进的监视技术在国际市场上的蓬勃发展，这种技术可以针对民间社会成员进行有针对性的攻击。

尽管销售商业间谍软件的公司将其产品作为打击严重犯罪的手段进行广告宣传，但迄今为止收集的证据发现，独裁政府和私人组织滥用这些工具来窥探人权倡导者、记者、持不同政见者和政客。

谷歌的威胁分析小组（TAG）正在跟踪30多家向国家资助的参与者兜售漏洞利用或监视能力的供应商，该小组表示，蓬勃发展的生态系统突显出“商业监视供应商在历史上仅由政府使用的能力激增的程度”。

TAG的Shane Huntley周三在美国众议院情报委员会的证词中表示：“这些供应商拥有深厚的技术专长，可以开发和实施漏洞攻击。”他补充说，“在政府需求的推动下，其使用正在增加”。