奥利地公司利用Windows 和 Adobe 0day 攻击欧洲和中美洲实体

DSIRF 被指开发并试图出售网络武器 Subzero，它可被用于入侵目标的手机、计算机和联网设备。

微软在报告中指出，“目前观测到的受害者包括律所、银行和战略咨询机构，它们位于奥地利、英国和巴拿马。”微软将该恶意组织称为“虎杖（KNOTWEED）”，延续了公司使用树木和灌木丛为PSOA命名的趋势。公司此前曾将以色列监控软件厂商 Candiru 发布的监控软件命名为“多花紫树 (SOURGUM)”。

“虎杖”涉及访问即服务和黑客雇佣行动，向第三方提供工具，在某些攻击中还直接提供工具。它向第三方出售的是端对端黑客工具，无需涉及DSIRF，而雇佣组织会代表客户运行目标活动。
    报告指出，Subzero 的部署涉及利用多个漏洞，包括某攻击链滥用一个未知的远程代码执行漏洞和一个0day 提权漏洞 (CVE-2022-22047)，微软在7月补丁星期二中已将后者修复。

微软解释称，“这些利用被封装在通过邮件发送给受害者的 PDF 文档中。CVE-2022-22047用于虎杖相关攻击中，用于权限提升。该漏洞还提供了沙箱逃逸和在系统层面实现代码执行的能力。”

2021年，类似的攻击链结合利用两个 Windows 提权 exploit（CVE-2021-31199和CVE-2021-31201）和一个 Adobe Reader 缺陷 (CVE-2021-28550)。这三个漏洞均已在2021年6月解决。

Subzero 的部署最终通过第四个 exploit 完成。第四个 exploit 是位于Windows Update Medic Service 中的提权漏洞 (CVE-2021-36948)，微软已在2021年8月修复。

除了这些利用链外，攻击者还利用伪装成房地产文档的 Excel 文件传播该恶意软件。这些文件中包括旨在启动感染流程的 Excel 4.0 宏。

不管使用的方法是什么，这些入侵活动的高峰是shellcode 执行。Shellcode 用于从远程服务器以 JPEG 图像的形式检索名为 Corelump 的第二阶段payload，该JPEG 图像中内嵌一个加载器 Jumplump，后者会将 Corelump 加载到内存中。这种躲避性植入具有一系列能力，包括击键记录、截屏捕获、文件提取、远程 shell 运行以及运行从远程服务器下载的任意插件。

攻击中还会部署定做的工具如命令行工具 Mex，用于运行开源安全软件如 Chisel 和 PassLib，用于转储源自web 浏览器、邮件客户端和Windows 凭据管理器的凭据。

微软指出，从2020年2月起就通过托管在 DigitalOcean 和 Choopa 上的基础设施发现虎杖活跃传播恶意软件，并发现用于恶意软件开发、Mex 调试和Subzero payload 启动的子域。研究人员还发现了虎杖攻击中所使用的恶意工具与 DSIRF 公司之间的关联。报告指出，“该恶意软件使用的命令和控制基础设施和DSIRF之间存在直接关联，攻击中使用了和DSIRF 相关联的一个 GitHub 账号、颁发给 DSIRF 的一个代码签名证书被用于签名exploit、其它开源新闻报道将 Subzero 归因于 DSIRF。”

Subzero 与现成可用的恶意软件如 Pegasus、Predator、Hermit 和 DevilsTongue 没有区别，均能利用手机和 Windows 机器远程控制设备并嗅探数据，有时无需用户点击恶意链接。

这项最新研究成果表明，国际市场存在对此类复杂监控技术的需求，这些工具被用于针对性攻击。虽然出售商业监控软件的企业声称这些软件的目的是解决严重的犯罪活动，但证据表明这些工具别滥用于侵犯人权活动家、记者、政见不同者和政治家的权利。

谷歌威胁分析团队 (TAG) 追踪了30多家利用exploit 或监控能力的厂商发现，繁荣的生态系统突出了“商业监控厂商具有历史上仅有政府机构可以使用的能力”。谷歌TAG团队研究员 Shane Huntley 本周三向美国众议院情报委员会表示，“这些厂商以深入的技术专业知识和可操作的exploit 运营。随着政府部门需求的增多，它的使用也在不断增长。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。