?7月28日消息，微軟安全和威脅情報團隊稱發(fā)現一家奧地利公司銷售間諜軟件DSIRF，該軟件是基于未知的Windows漏洞開發(fā)。當前的受害者包括奧地利、英國和巴拿馬等國的律師事務所、銀行和戰(zhàn)略咨詢公司。

DSIRF聲稱幫助跨國公司進行風險分析和收集商業(yè)情報。微軟威脅情報中心（MSTIC）分析發(fā)現，間諜軟件DSIRF利用Windows的零日特權升級漏洞和Adobe Reader遠程代碼漏洞執(zhí)行攻擊。微軟表示，DSIRF利用的漏洞目前在更新補丁中已經修補。在內部，微軟以代號KNOTWEED對DSIRF進行追蹤，并表示該公司還與SubZero惡意軟件的開發(fā)和銷售有關。

MSTIC發(fā)現DSIRF與惡意軟件之間有多種聯系，包括惡意軟件使用的命令和控制基礎設施直接鏈接到DSIRF、一個與DSIRF相關的GitHub賬戶被用于一次攻擊、發(fā)給DSIRF的代碼簽名證書被用于簽署一個漏洞。

攻擊中出現的CVE-2022-22047漏洞能從沙盒中逃脫。微軟解釋，該漏洞鏈開始時，從沙盒中的Adobe Reader渲染器進程寫入一個惡意DLL到磁盤。然后，CVE-2022-22047漏洞被用來瞄準一個系統進程，通過提供一個應用程序清單，其中有一個未記錄的屬性，指定惡意DLL的路徑。當系統進程下一次生成時，惡意激活上下文中的屬性被使用，惡意DLL從給定的路徑加載，從而執(zhí)行系統級代碼。

調查人員已經確定了DSIRF控制下的一系列IP地址，該基礎設施主要由Digital Ocean和Choopa托管，至少從2020年2月開始就積極為惡意軟件提供服務，并持續(xù)到現在。

微軟建議保持最新的補丁和惡意軟件檢測，并注意破壞后的行動，如憑證轉儲和啟用明文憑證。

 ?