?7月28日消息，微軟安全和威脅情報團隊稱發(fā)現(xiàn)一家奧地利公司銷售間諜軟件DSIRF，該軟件是基于未知的Windows漏洞開發(fā)。當前的受害者包括奧地利、英國和巴拿馬等國的律師事務(wù)所、銀行和戰(zhàn)略咨詢公司。

DSIRF聲稱幫助跨國公司進行風險分析和收集商業(yè)情報。微軟威脅情報中心（MSTIC）分析發(fā)現(xiàn)，間諜軟件DSIRF利用Windows的零日特權(quán)升級漏洞和Adobe Reader遠程代碼漏洞執(zhí)行攻擊。微軟表示，DSIRF利用的漏洞目前在更新補丁中已經(jīng)修補。在內(nèi)部，微軟以代號KNOTWEED對DSIRF進行追蹤，并表示該公司還與SubZero惡意軟件的開發(fā)和銷售有關(guān)。

MSTIC發(fā)現(xiàn)DSIRF與惡意軟件之間有多種聯(lián)系，包括惡意軟件使用的命令和控制基礎(chǔ)設(shè)施直接鏈接到DSIRF、一個與DSIRF相關(guān)的GitHub賬戶被用于一次攻擊、發(fā)給DSIRF的代碼簽名證書被用于簽署一個漏洞。

攻擊中出現(xiàn)的CVE-2022-22047漏洞能從沙盒中逃脫。微軟解釋，該漏洞鏈開始時，從沙盒中的Adobe Reader渲染器進程寫入一個惡意DLL到磁盤。然后，CVE-2022-22047漏洞被用來瞄準一個系統(tǒng)進程，通過提供一個應(yīng)用程序清單，其中有一個未記錄的屬性，指定惡意DLL的路徑。當系統(tǒng)進程下一次生成時，惡意激活上下文中的屬性被使用，惡意DLL從給定的路徑加載，從而執(zhí)行系統(tǒng)級代碼。

調(diào)查人員已經(jīng)確定了DSIRF控制下的一系列IP地址，該基礎(chǔ)設(shè)施主要由Digital Ocean和Choopa托管，至少從2020年2月開始就積極為惡意軟件提供服務(wù)，并持續(xù)到現(xiàn)在。

微軟建議保持最新的補丁和惡意軟件檢測，并注意破壞后的行動，如憑證轉(zhuǎn)儲和啟用明文憑證。

 ?