微軟阻止一家奧地利公司銷售間諜軟件 其能夠進行未經授權的監控

MSTIC已經發現DSIRF與這些攻擊中使用的漏洞和惡意軟件之間有多種聯系。其中包括惡意軟件使用的命令和控制基礎設施直接與DSIRF相連，一個與DSIRF有關的GitHub賬戶被用于一次攻擊，一個發給DSIRF的代碼簽名證書被用于簽署一個漏洞，以及其他開源新聞報道將SubZero歸于DSIRF。

攻擊是通過一個通過電子郵件發送特別設計后的PDF文件傳播的，結合一個0day Windows漏洞，該攻擊獲得了目標機器上的高級別權限。SubZero同時本身是一個rootkit，可以對被攻擊的系統進行完全控制。

DSIRF可以利用以前未知的Windows 0day特權升級漏洞和Adobe Reader遠程代碼執行攻擊來破壞系統，微軟將該安全漏洞標記為CVE ID CVE-2022-22047，并已確認該漏洞已被修補。

在商業基礎上開發和部署惡意軟件的公司被稱為私營部門攻擊者（PSOA），微軟也將其稱為"網絡雇傭兵"。DSIRF很可能是將其間諜軟件作為訪問即服務和黑客雇傭來提供。微軟表示，該公司沒有參與任何目標或行動的運行。

DSIRF網站的一個存檔副本指出，該公司為"技術、零售、能源和金融領域的跨國公司"提供服務。該公司擁有"一套收集和分析信息的高度精密技術"。

該網站還提到該公司可以"通過提供對個人和實體的深入了解，進行強化的盡職調查和風險分析過程"。它有"高度復雜的紅藍隊演練來挑戰目標公司最關鍵的資產"。

微軟通過其提交給"打擊外國商業間諜軟件擴散對美國國家安全的威脅"聽證會的書面證詞文件，基本上重復了上述信息。