微软安全团队发现一家利用Windows零日漏洞销售间谍软件的奥地利公司

访问:

微软中国官方商城 - 首页

这家间谍软件开发商官方名称叫做 DSIRF，不过在这篇博文中微软以“KNOTWEED”代号进行追踪，其制作的间谍软件叫做 Subzero，用于针对英国、奥地利和巴拿马的律师事务所、银行和咨询公司。

MSTIC 在深入分析后发现 DSIRF 攻击系统所使用的漏洞，包括 1 个Windows零日权限提升漏洞和 1 个 Adobe Reader 远程代码执行攻击。微软表示 DSIRF 所使用的漏洞已经通过安全更新进行修复。

DSIRF 公司官方声称帮助多家跨国企业执行风险分析和洞察企业数据，不过微软调查发现该公司在未经授权监管的情况下销售间谍软件。微软在博文中写道

MSTIC 已经发现了 DSIRF 中的多条链接，以及用于执行攻击的漏洞和恶意软件。其中包括直接连接到 DSIRF 的命令和控制基础架构、在某次攻击中和 DSIRF 关联的 Github 账号，用于签署漏洞、由 DSIRF 发布的代码签署认证，以及归结于 DSIRF 的其他关于 Subzero 的开源新闻。