微软揭露欧洲雇佣间谍软件经纪人的策略

• 2025-11-13 19:47:06

公听会讨论间谍软件市场及潜在安全威胁

关键要点

随着美国国会在周三召开会议，讨论销售间谍软件的私人承包商的相关问题，路透社也发布了新报告，指出这些间谍软件曾被用于针对欧洲联盟核心立法机构。与此同时，微软也发布了来自新兴承包商的细节。

微软的Cristin Flynn Goodwin在听证会的书面证词中提到：“NSO集团是典型的例子，但除了在美国商务部实体名单上的公司，还有许多其他公司也在销售这些服务，但尚未列入名单。”

微软在周三的博客文章中详细介绍了新的威胁，即奥地利的承包商DSIRF。DSIRF过去曾将自己宣传为威胁情报操作机构，提供“高度复杂的信息收集和分析技术，以支持技术、零售、金融和能源客户的决策”。实际上，该公司与间谍恶意软件的销售有关联，媒体报道称该组织已将其“Subzero”恶意软件营销给克里姆林宫。

关于Subzero的技术细节过去并未被充分报道。微软表示，该组织已经被发现针对“法律事务所、银行以及如奥地利、英国和巴拿马等国的战略咨询公司”。微软还联系了一名受害者，该受害者证实并未雇佣DSIRF的渗透测试服务。

“请注意，在一个国家识别目标并不一定意味着DSIRF的客户居住在同一国家，因为国际目标常见，”微软的报告指出。

微软使用植物命名法来追踪和调查雇佣间谍行为者，并将DSIRF称为“KNOTWEED”。

Subzero似乎通过多种途径传播，包括Adobe和Windows产品中的漏洞。微软表示，自2021年以来，该组织使用的至少四个零日漏洞已被修复，其中至少一个零日漏洞在Adobe中被广泛使用。在一种情况下，一种恶意DLL通过一系列零日链加载，实际上是由DSIRF签名的。

DSIRF还在Excel中使用了VBA宏。该宏通过在《卡玛苏特拉》的长段落中隐藏命令进行了混淆。

加载器和CoreLump的嵌入图像 (Microsoft)

漏洞链和Excel宏安装下载器shellcode使用RC4密钥，隐藏在一张JPEG文件中一张描绘金正恩是否能吃吉他的梗图以下载CoreLump，这是一种能够记录键盘输入、捕捉屏幕截图、外泄文件、运行远程shell和运行任意插件的植入程序。CoreLump会安装JumpL