7月28日,微软安全与威胁情报团队称发现一家奥地利公司出售间谍软件DSIRF,该间谍软件是基于未知的Windows漏洞开发的。目前的受害者包括奥地利、英国和巴拿马等国家的律师事务所、银行和战略咨询公司。DSIRF声称可以帮助跨国公司进行风险分析和收集商业情报。微软威胁情报中心(MSTIC)分析发现,间谍软件DSIRF利用了Windows零日提权漏洞和Adob??eReader远程代码执行漏洞。据微软称,DSIRF利用的漏洞目前已在更新中进行了修补。在内部,微软以代号KNOTWEED追踪DSIRF,并表示该公司还参与了SubZero恶意软件的开发和销售。MSTIC在DSIRF和恶意软件之间发现了多个链接,包括恶意软件使用的命令和控制基础设施直接链接到DSIRF,在攻击中使用了与DSIRF关联的GitHub帐户,以及向DSIRF颁发的代码签名证书被使用于签署了一个bug。攻击中出现的CVE-2022-22047漏洞可以逃出沙箱。微软解释说,漏洞链始于将恶意DLL从沙箱中的Adob??eReader渲染器进程写入磁盘。然后,CVE-2022-22047漏洞被用于通过提供应用程序清单来定位系统进程,该清单具有未记录的属性,指定恶意DLL的路径。下次生成系统进程时,将使用恶意激活上下文中的属性,并从给定路径加载恶意DLL,从而执行系统级代码。调查人员已经确定了一系列受DSIRF控制的IP地址,DSIRF是一个主要由DigitalOcean和Choopa托管的基础设施,至少从2020年2月开始就一直在积极提供恶意软件服务,并且一直持续到现在。Microsoft建议及时更新补丁和恶意软件检测,并注意泄露后的操作,例如凭证转储和启用明文凭证。
