7月28日消息,微软安全和威胁情报团队称发现一家奥地利公司销售间谍软件DSIRF,该软件是基于未知的Windows漏洞开发。当前的受害者包括奥地利、英国和巴拿马等国的律师事务所、银行和战略咨询公司。
MSTIC发现DSIRF与恶意软件之间有多种联系,包括恶意软件使用的命令和控制基础设施直接链接到DSIRF、一个与DSIRF相关的GitHub账户被用于一次攻击、发给DSIRF的代码签名证书被用于签署一个漏洞。
攻击中出现的CVE-2022-22047漏洞能从沙盒中逃脱。微软解释,该漏洞链开始时,从沙盒中的Adobe Reader渲染器进程写入一个恶意DLL到磁盘。然后,CVE-2022-22047漏洞被用来瞄准一个系统进程,通过提供一个应用程序清单,其中有一个未记录的属性,指定恶意DLL的路径。当系统进程下一次生成时,恶意激活上下文中的属性被使用,恶意DLL从给定的路径加载,从而执行系统级代码。
调查人员已经确定了DSIRF控制下的一系列IP地址,该基础设施主要由Digital Ocean和Choopa托管,至少从2020年2月开始就积极为恶意软件提供服务,并持续到现在。
微软建议保持最新的补丁和恶意软件检测,并注意破坏后的行动,如凭证转储和启用明文凭证。
参考链接:
https://www.theregister.com/2022/07/27/knotweed/
https://www.theverge.com/2022/7/27/23281215/microsoft-austrian-commercial-spyware-dsirf-knotweed-intelligence-committee
精彩推荐