微軟威脅情報(MSTIC)及安全回應(MSRC)兩大中心先前將鎖定歐洲及中美洲組織之 Windows 及 Adobe 零時差漏洞攻擊的背後駭客組織特別命名為「Knotweed」(虎杖草)以進行追蹤。微軟 7 月 27 日安全公告認定奧地利維也納的情報蒐集公司 DSIRF(Decision Supporting Information Research Forensic)與「Knotweed」及攻擊的「Subzero」間諜軟體脫不了關係。
這家表面上專為科技、零售、能源及金融領域跨國公司提供資料導向智慧與紅隊演練滲透測試等服務的 DSIRF 公司,骨子裡早在 2020 年便開始積極展開攻擊行動,並開發「Subzero」間諜軟體。客戶可透過間諜軟體遠端入侵受害者電腦、手機、網路基礎設施及連網裝置。基本上,Subzero 功能與兩家以色列公司 NSO Group 及 Candiru 旗下知名 Pegasus 及 DevilsTongue 間諜軟體十分類似,多半都供政府監控記者、激進分子及維權人士的工具。
不僅如此,DSIRF 還大力宣稱 Subzero 是「下一代網路戰」利器,完全控制目標電腦、竊取密碼,並掌握目標電腦的即時位置。據稱俄羅斯政府 2016 年美國總統大選也曾使用此間諜軟體。
DSIRF 銷售 Subzero 間諜軟體時,也發現曾在一些攻擊使用自家基礎設施,更證明直接參與攻擊行動。受害者包括奧地利、巴拿馬與英國律師事務所、銀行及策略顧問公司。
微軟指出,Subzero 間諜軟體會透過許多管道散布,包括許多 Windows 及 Adobe 零時差漏洞,尤其是日前完成更新修補的 CVE-2022-22047 漏洞。微軟表示已修補至少 4 個 2021 年以來 DSIRF 使用的零時差漏洞。
值得注意的是,DSIRF 也會將包含第二階段惡意軟體的惡意巨集嵌入 Excel 文件,惡意軟體會藏在扮成迷因圖的 JPEG 圖裡。如今巨集早成為駭客取得權限植入惡意軟體與勒索軟體的普遍攻擊手法,所幸目前微軟體已在 Office 應用軟體預設封鎖機制。
針對 DSIRF 種種攻擊活動,微軟建議企業組織應儘速完成 CVE-2022-22047 更新修補,同時保持防毒軟體是最新版本並啟用多重身分認證。
(首圖來源:Pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
