微软的多部门安全和威胁情报团队最近发布了一份联合报告,成功捕获一家奥地利公司出售基于未被发现的Windows漏洞的间谍软件。周三发表的一份技术讲座中,微软的威胁情报中心(MSTIC)披露了细节,这与以前的听证会一致,向美国众议院情报委员会提交的微软商业间谍软件符合网络安全调查报告的内容。
这家间谍软件开发商官方名称叫做 DSIRF,不过在这篇博文中微软以“KNOTWEED”代号进行追踪,其制作的间谍软件叫做 Subzero,用于针对英国、奥地利和巴拿马的律师事务所、银行和咨询公司。
经过广泛的分析,MSTIC发现DSIRF攻击系统所使用的漏洞,包括一个Windows零日 Power Upgrade漏洞和一个Adobe Reader远程代码执行攻击。微软表示,DSIRF使用的漏洞已经通过安全更新修复。
DSIRF官员声称他们帮助了几家跨国公司对公司数据进行风险分析和洞察,但微软的一项调查发现,该公司未经授权的监管销售间谍软件
MSTIC在DSIRF中发现了几个链接,以及用于执行攻击的漏洞和恶意软件。其中包括直接连接到 DSIRF 的命令和控制基础架构、在某次攻击中和 DSIRF 关联的 Github 账号,DSIRF发布的签字漏洞和代码签字认证,以及归结于 DSIRF 的其他关于 Subzero 的开源新闻。
