奥利地公司利用Windows 和 Adobe 0day 攻击欧洲和中美洲实体
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软发布报告称,奥地利私营行业攻击者 (PSOA) DSIRF “表面上是向商业客户出售一般的安全和信息分析服务”,但实际上利用多个 Windows 和 Adobe 0day 利用,对欧洲和中美地区的实体发动高针对性攻击。
DSIRF 被指开发并试图出售网络武器 Subzero,它可被用于入侵目标的手机、计算机和联网设备。
微软在报告中指出,“目前观测到的受害者包括律所、银行和战略咨询机构,它们位于奥地利、英国和巴拿马。”微软将该恶意组织称为“虎杖(KNOTWEED)”,延续了公司使用树木和灌木丛为PSOA命名的趋势。公司此前曾将以色列监控软件厂商 Candiru 发布的监控软件命名为“多花紫树 (SOURGUM)”。
“虎杖”涉及访问即服务和黑客雇佣行动,向第三方提供工具,在某些攻击中还直接提供工具。它向第三方出售的是端对端黑客工具,无需涉及DSIRF,而雇佣组织会代表客户运行目标活动。
报告指出,Subzero 的部署涉及利用多个漏洞,包括某攻击链滥用一个未知的远程代码执行漏洞和一个0day 提权漏洞 (CVE-2022-22047),微软在7月补丁星期二中已将后者修复。
微软解释称,“这些利用被封装在通过邮件发送给受害者的 PDF 文档中。CVE-2022-22047用于虎杖相关攻击中,用于权限提升。该漏洞还提供了沙箱逃逸和在系统层面实现代码执行的能力。”
2021年,类似的攻击链结合利用两个 Windows 提权 exploit(CVE-2021-31199和CVE-2021-31201)和一个 Adobe Reader 缺陷 (CVE-2021-28550)。这三个漏洞均已在2021年6月解决。
Subzero 的部署最终通过第四个 exploit 完成。第四个 exploit 是位于Windows Update Medic Service 中的提权漏洞 (CVE-2021-36948),微软已在2021年8月修复。
除了这些利用链外,攻击者还利用伪装成房地产文档的 Excel 文件传播该恶意软件。这些文件中包括旨在启动感染流程的 Excel 4.0 宏。
不管使用的方法是什么,这些入侵活动的高峰是shellcode 执行。Shellcode 用于从远程服务器以 JPEG 图像的形式检索名为 Corelump 的第二阶段payload,该JPEG 图像中内嵌一个加载器 Jumplump,后者会将 Corelump 加载到内存中。这种躲避性植入具有一系列能力,包括击键记录、截屏捕获、文件提取、远程 shell 运行以及运行从远程服务器下载的任意插件。
攻击中还会部署定做的工具如命令行工具 Mex,用于运行开源安全软件如 Chisel 和 PassLib,用于转储源自web 浏览器、邮件客户端和Windows 凭据管理器的凭据。
微软指出,从2020年2月起就通过托管在 DigitalOcean 和 Choopa 上的基础设施发现虎杖活跃传播恶意软件,并发现用于恶意软件开发、Mex 调试和Subzero payload 启动的子域。研究人员还发现了虎杖攻击中所使用的恶意工具与 DSIRF 公司之间的关联。报告指出,“该恶意软件使用的命令和控制基础设施和DSIRF之间存在直接关联,攻击中使用了和DSIRF 相关联的一个 GitHub 账号、颁发给 DSIRF 的一个代码签名证书被用于签名exploit、其它开源新闻报道将 Subzero 归因于 DSIRF。”
Subzero 与现成可用的恶意软件如 Pegasus、Predator、Hermit 和 DevilsTongue 没有区别,均能利用手机和 Windows 机器远程控制设备并嗅探数据,有时无需用户点击恶意链接。
这项最新研究成果表明,国际市场存在对此类复杂监控技术的需求,这些工具被用于针对性攻击。虽然出售商业监控软件的企业声称这些软件的目的是解决严重的犯罪活动,但证据表明这些工具别滥用于侵犯人权活动家、记者、政见不同者和政治家的权利。
谷歌威胁分析团队 (TAG) 追踪了30多家利用exploit 或监控能力的厂商发现,繁荣的生态系统突出了“商业监控厂商具有历史上仅有政府机构可以使用的能力”。谷歌TAG团队研究员 Shane Huntley 本周三向美国众议院情报委员会表示,“这些厂商以深入的技术专业知识和可操作的exploit 运营。随着政府部门需求的增多,它的使用也在不断增长。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
开源电商平台 PrestaShop 0day被用于窃取在线商店的支付数据
间谍软件 Candiru 利用 Chrome 0day 攻击记者
Chrome 103紧急修复已遭利用的0day
Jenkins 披露多个组件中的29个未修复0day
谷歌分析2022在野0day利用后,得出令人意外的结论
原文链接
https://thehackernews.com/2022/07/microsoft-uncover-austrian-company.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
奥利地公司利用Windows 和 Adobe 0day 攻击欧洲和中美洲实体相关推荐
- 火眼:利用FTA 服务器0day攻击全球百家企业的是 FIN11
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 火眼公司指出,2020年12月利用Accellion FTA 服务器 0day 攻击全球100家左右企业的黑客组织是 FIN11. 在 ...
- 《奥多比 PS CS4 官方中文版》(Adobe Photoshop CS4 Extended)繁体中文/简体中文/韩文
<奥多比 PS CS4 官方中文版>(Adobe Photoshop CS4 Extended)繁体中文/简体中文/韩文 发布者: 呂翊翀 发布时间: 11月11日 更新时间: 前天 订阅 ...
- [转帖]2015年时微软Win3.1崩溃迫使巴黎奥利机场短暂关闭
https://www.ithome.com/html/it/188796.htm IT之家讯 2015年11月14日消息,上周法国巴黎奥利机场因为微软的Windows 3.1系统出现故障不得不迫使所 ...
- 奥利奥0糖系列全网首发;雀巢芭绮率先入驻哈尔滨;疫情后红参需求大幅上升...
雀巢.每日优鲜.奥利奥.韩国人参公社.美国流行威士忌酩帝诗等企业最新动态. 新店开业 雀巢旗下巧克力品牌芭绮正式进入中国 雀巢宣布在哈尔滨中央大街开设意式甜品店,为广大消费者提供意大利国宝级巧克力品牌 ...
- 奥利奥聊天机器人1.0【原创】【源码附注释】【C语言】
大家有什么意见可以在文章下面留言,或者加Q交流 /* ======================================= [奥利奥聊天机器人1.0] 作者QQ:2783608988 --奥 ...
- Microsoft Tech Summit 2018 课程简述:利用 Windows 新特性开发出更好的手绘视频应用...
概述 Microsoft Tech Summit 2018 微软技术暨生态大会将于10月24日至27日在上海世博中心举行,这也会是国内举办的最后一届 Tech Summit,2019 年开始会以 Mi ...
- [C# 设计模式] Iterator - 迭代器模式:我与一份奥利奥早餐的故事
Iterator - 迭代器模式 目录 前言 回顾 UML 类图 代码分析 抽象的 UML 类图 思考 前言 这是一包奥利奥(数组),里面藏了很多块奥利奥饼干(数组中的元素),我将它们放在一个碟子上慢 ...
- 一个技术预案,让老板当场喊出了“奥利给”
我还是那个前浪,很多朋友说看了我的故事后觉得有点励志,在大家都处于"中年危机"."大龄程序员找不到出路"等各种焦虑的时候,我的故事像一碗鸡汤(这个说法莫名感觉很 ...
- 基于java奥利给共享自习室系统计算机毕业设计源码+系统+lw文档+mysql数据库+调试部署
基于java奥利给共享自习室系统计算机毕业设计源码+系统+lw文档+mysql数据库+调试部署 基于java奥利给共享自习室系统计算机毕业设计源码+系统+lw文档+mysql数据库+调试部署 本源码技 ...
最新文章
- 正则表达式--检查颜色值
- 编程之美-电话号码对应英文单词方法整理
- 驱动备份工具哪个好_原神元素反应工具人推荐一览 元素反应工具人哪个好
- ActiveMQ消息中间件的作用以及应用场景
- mysql 403_mysql数据库管理phpmyadmin 403错误的解决方法
- mysqldump全量恢复_mysql全量备份和快速恢复的方法整理
- mysql+'@'%_mysql忘记登录的人:命令拒绝用户”@’%’
- c语言基础--ASCII码表
- 如何做决策?SWOT分析
- PuTTY用户手册(一)
- win10计算机网络共享设置密码,win10局域网设置密码如何设置_win10局域网怎么设置访问密码-win7之家...
- 支付网关 | 京东618、双11用户支付的核心承载系统(上篇)
- Android N - Data Saver
- Python3+Selenium3+Pycharm自动化环境搭建(四):运行unittest时报错,unhandled inspector error
- iOS中根据网络环境显示不同图片
- C1认证学习十(Ipv6)
- CVPR 2021大奖出炉!何恺明获最佳论文提名,华人四篇“最佳”!第一届Thomas S. Huang 纪念奖颁发...
- linux 系统迁移到固态硬盘,在Linux系统中将SSD当块设备缓存的方法
- 哲学家与心理学家在选择性知觉上的不谋而合
- GK61XS拆分空格功能
热门文章
- 1 数据分析业务指标
- 阿德莱德大学语言班成绩为C,阿德莱德大学语言要求(包括雅思、托福、GRE、GMAT)...
- APP在后台被系统杀死的六种主要原因
- 05.OpenWrt-写入mac地址
- 计算机网络基础知识满昌勇,《计算机网络》说课课件.ppt
- Siri 捷径邂逅esp8266实现的智能家居控制
- Linux开发者的CI/CD(8)静态代码检查工具cppcheck使用大全
- 日期控件My97的时间限制
- Tensorflow Win10 stage.2
- Kbuild语法解析