公听会讨论间谍软件市场及潜在安全威胁

关键要点

• 议会听证会将讨论销售间谍软件的私营承包商。
• 微软披露了一项新兴承包商DSIRF的详细信息，该公司涉嫌销售间谍恶意软件。
• DSIRF 曾以威胁情报运营商的身份出现，营销其高级信息收集和分析技术。
• 微软报告指出，DSIRF 的活动涉及多个国家，包括奥地利、英国和巴拿马。

随着美国国会在周三召开会议，讨论销售的私人承包商的相关问题，，指出这些间谍软件曾被用于针对欧洲联盟核心立法机构。与此同时，微软也发布了来自的细节。

微软的Cristin FlynnGoodwin在听证会的书面证词中提到：“是典型的例子，但除了在美国商务部实体名单上的公司，还有许多其他公司也在销售这些服务，但尚未列入名单。”

微软在周三的中详细介绍了新的威胁，即奥地利的承包商DSIRF。DSIRF过去曾将自己宣传为威胁情报操作机构，提供“高度复杂的信息收集和分析技术，以支持技术、零售、金融和能源客户的决策”。实际上，该公司与间谍恶意软件的销售有关联，。

关于Subzero的过去并未被充分报道。微软表示，该组织已经被发现针对“法律事务所、银行以及如奥地利、英国和巴拿马等国的战略咨询公司”。微软还联系了一名受害者，该受害者证实并未雇佣DSIRF的渗透测试服务。

“请注意，在一个国家识别目标并不一定意味着DSIRF的客户居住在同一国家，因为国际目标常见，”微软的报告指出。

微软使用植物命名法来追踪和调查雇佣间谍行为者，并将DSIRF称为“KNOTWEED”。

Subzero似乎通过多种途径传播，包括Adobe和Windows产品中的漏洞。微软表示，自2021年以来，该组织使用的至少四个零日漏洞已被修复，其中至少一个零日漏洞在Adobe中被广泛使用。在一种情况下，一种恶意DLL通过一系列零日链加载，实际上是由DSIRF签名的。

DSIRF还在Excel中使用了VBA宏。该宏通过在《卡玛苏特拉》的长段落中隐藏命令进行了混淆。


加载器和CoreLump的嵌入图像 (Microsoft)

漏洞链和Excel宏安装下载器shellcode使用RC4密钥，隐藏在一张JPEG文件中——一张描绘金正恩是否能吃吉他的梗图——以下载CoreLump，这是一种能够记录键盘输入、捕捉屏幕截图、外泄文件、运行远程shell和运行任意插件的植入程序。CoreLump会安装JumpL