微軟的威脅情報中心（MSTIC）聲稱它抓住了一家奧地利公司銷售間諜軟件的證據，該惡意軟件實現了針對律師事務所、銀行和諮詢公司的未獲授權的監視任務。微軟為此發表了一篇詳細的博客，聲稱一家名為DSIRF的奧地利公司開發並銷售名為SubZero的間諜軟件，微軟方面將其稱為Knotweed。

MSTIC已經發現DSIRF與這些攻擊中使用的漏洞和惡意軟件之間有多種聯繫。其中包括惡意軟件使用的命令和控制基礎設施直接與DSIRF相連，一個與DSIRF有關的GitHub賬戶被用於一次攻擊，一個發給DSIRF的代碼簽名證書被用於簽署一個漏洞，以及其他開源新聞報導將SubZero歸於DSIRF。

攻擊是通過一個通過電子郵件發送特別設計後的PDF文件傳播的，結合一個0day Windows漏洞，該攻擊獲得了目標機器上的高級別權限。SubZero同時本身是一個rootkit，可以對被攻擊的系統進行完全控制。

DSIRF可以利用以前未知的Windows 0day特權升級漏洞和Adobe Reader遠程代碼執行攻擊來破壞系統，微軟將該安全漏洞標記為CVE ID CVE-2022-22047，並已確認該漏洞已被修補。

在商業基礎上開發和部署惡意軟件的公司被稱為私營部門攻擊者（PSOA），微軟也將其稱為”網絡僱傭兵”。DSIRF很可能是將其間諜軟件作為訪問即服務和黑客僱傭來提供。微軟表示，該公司沒有參與任何目標或行動的運行。

DSIRF網站的一個存檔副本指出，該公司為”技術、零售、能源和金融領域的跨國公司”提供服務。該公司擁有”一套收集和分析信息的高度精密技術”。

該網站還提到該公司可以”通過提供對個人和實體的深入了解，進行強化的盡職調查和風險分析過程”。它有”高度複雜的紅藍隊演練來挑戰目標公司最關鍵的資產”。

微軟通過其提交給”打擊外國商業間諜軟件擴散對美國國家安全的威脅”聽證會的書面證詞文件，基本上重複了上述信息。

了解更多：