微软称发现奥地利间谍团伙,利用Windows和Adobe 0day攻击欧洲组织

安全
微软表示,DSIRF利用的漏洞目前在更新补丁中已经修补。在内部,微软以代号KNOTWEED对DSIRF进行追踪,并表示该公司还与SubZero恶意软件的开发和销售有关。

​7月28日消息,微软安全和威胁情报团队称发现一家奥地利公司销售间谍软件DSIRF,该软件是基于未知的Windows漏洞开发。当前的受害者包括奥地利、英国和巴拿马等国的律师事务所、银行和战略咨询公司。

DSIRF声称帮助跨国公司进行风险分析和收集商业情报。微软威胁情报中心(MSTIC)分析发现,间谍软件DSIRF利用Windows的零日特权升级漏洞和Adobe Reader远程代码漏洞执行攻击。微软表示,DSIRF利用的漏洞目前在更新补丁中已经修补。在内部,微软以代号KNOTWEED对DSIRF进行追踪,并表示该公司还与SubZero恶意软件的开发和销售有关。

MSTIC发现DSIRF与恶意软件之间有多种联系,包括恶意软件使用的命令和控制基础设施直接链接到DSIRF、一个与DSIRF相关的GitHub账户被用于一次攻击、发给DSIRF的代码签名证书被用于签署一个漏洞。

攻击中出现的CVE-2022-22047漏洞能从沙盒中逃脱。微软解释,该漏洞链开始时,从沙盒中的Adobe Reader渲染器进程写入一个恶意DLL到磁盘。然后,CVE-2022-22047漏洞被用来瞄准一个系统进程,通过提供一个应用程序清单,其中有一个未记录的属性,指定恶意DLL的路径。当系统进程下一次生成时,恶意激活上下文中的属性被使用,恶意DLL从给定的路径加载,从而执行系统级代码。

调查人员已经确定了DSIRF控制下的一系列IP地址,该基础设施主要由Digital Ocean和Choopa托管,至少从2020年2月开始就积极为恶意软件提供服务,并持续到现在。

微软建议保持最新的补丁和恶意软件检测,并注意破坏后的行动,如凭证转储和启用明文凭证。

 ​

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2009-02-25 16:28:46

2009-07-06 13:15:07

2012-06-19 15:16:05

2009-12-17 16:13:36

2013-12-02 14:50:25

2012-07-31 09:43:53

2022-03-25 13:41:55

漏洞网络攻击Quantum(量子

2021-09-10 11:41:20

漏洞Windows 微软

2017-02-17 09:10:26

2015-07-16 11:41:51

2009-03-11 15:10:36

2013-05-23 10:48:14

EPATHOBJ 0d0day漏洞

2021-03-23 10:41:00

漏洞黑客组织谷歌

2020-04-21 10:24:03

0 day漏洞网络威胁情报

2009-07-09 10:04:37

2011-02-28 09:34:55

2010-07-22 10:13:34

2021-03-04 13:54:44

网络安全黑客攻击

2021-07-14 17:17:45

0day漏洞恶意代码

2014-10-14 19:57:08

点赞
收藏

51CTO技术栈公众号