微软威胁情报(MSTIC)及安全回应(MSRC)两大中心先前将锁定欧洲及中美洲组织之Windows及Adobe零时差漏洞攻击的背后黑客组织特别命名为“Knotweed”(虎杖草)以进行关注。微软7月27日安全公告认定奥地利维也纳的情报搜集公司DSIRF(Decision Supporting Information Research Forensic)与“Knotweed”及攻击的“Subzero”间谍软件脱不了关系。
这家表面上专为科技、零售、能源及金融领域跨国公司提供资料导向智能与红队演练渗透测试等服务的DSIRF公司,骨子里早在2020年便开始积极展开攻击行动,并开发“Subzero”间谍软件。客户可通过间谍软件远程入侵受害者计算机、手机、网络基础设施及联网设备。基本上,Subzero功能与两家以色列公司NSO Group及Candiru旗下知名Pegasus及DevilsTongue间谍软件十分类似,多半都供政府监控记者、激进分子及维权人士的工具。
不仅如此,DSIRF还大力宣称Subzero是“下一代网络战”利器,完全控制目标计算机、窃取密码,并掌握目标计算机的即时位置。据称俄罗斯政府2016年美国总统大选也曾使用此间谍软件。
DSIRF销售Subzero间谍软件时,也发现曾在一些攻击使用自家基础设施,更证明直接参与攻击行动。受害者包括奥地利、巴拿马与英国律师事务所、银行及策略顾问公司。
微软指出,Subzero间谍软件会通过许多渠道传播,包括许多Windows及Adobe零时差漏洞,尤其是日前完成更新修补的CVE-2022-22047漏洞。微软表示已修补至少4个2021年以来DSIRF使用的零时差漏洞。
值得注意的是,DSIRF也会将包含第二阶段恶意软件的恶意宏嵌入Excel文件,恶意软件会藏在扮成迷因图的JPEG图里。如今宏早成为黑客取得权限植入恶意软件与勒索软件的普遍攻击手法,所幸目前微软件已在Office应用软件默认封锁机制。
针对DSIRF种种攻击活动,微软建议企业组织应尽快完成CVE-2022-22047更新修补,同时保持杀毒软件是最新版本并激活多重身份认证。
(首图来源:Pixabay)