私营部门的网络武器

微软在27号晚些时候发布了一份报告（由微软威胁情报中心 (MSTIC)、微软安全响应中心 (MSRC) 和 RiskIQ 编制），该报告描述了它跟踪为“Knotweed”的威胁组的活动。

Knotweed 被认为对其提供给客户或代表客户部署的 Subzero 恶意软件负责。该组织还利用了 Windows 和 Adobe 零日漏洞。该报告解释了为什么微软认为这个威胁行为者特别令人震惊。简而言之，它是一家出租网络攻击服务的私营公司：

“ 微软也将其称为网络雇佣军的PSOA通过各种商业模式销售黑客工具或服务。此类参与者的两种常见模式是访问即服务和黑客出租。在访问-作为一种服务，参与者出售完整的端到端黑客工具，购买者可以在运营中使用这些工具，而 PSOA 不参与任何针对或运行的操作。

在 hack-for-hire，详细信息由购买者提供给攻击者，然后攻击者运行目标操作。根据观察到的攻击和新闻报道，MSTIC 认为 KNOTWEED 可能会融合这些模型：他们将 Subzero 恶意软件出售给第三方，但也观察到使用与 KNOTWEED 相关的一些攻击中的基础设施，表明更直接的参与。”

Knotweed 及其 Subzero 工具背后的公司是一家总部位于维也纳的公司 DSIRF。DSIRF 的登陆页面显示一句简单的引语：“谎言可以在真相还没有出现之前传遍世界”，但没有进一步阐述。目前尚不清楚这是否是对将公司描述为雇佣军的研究人员的侧击。

该公司将自己描述为“总部位于奥地利的公司，在维也纳和列支敦士登设有办事处，为技术、零售、能源和金融领域的跨国公司提供信息研究、取证以及数据驱动情报领域的任务定制服务。” 他们强调，从根本上说，他们提供研究：“我们紧密集成的团队提供复杂的情报产品，这些产品是为每个客户量身定制的。[原文如此]” 利用零日漏洞似乎是对商业智能的广泛看法。

微软解释了他们的归属：

"多条新闻报道已将 DSIRF 与名为 Subzero 的恶意软件工具集的开发和尝试销售联系起来。

MSTIC 发现 Subzero 恶意软件通过多种方法部署，包括 2021 年和 2022 年在 Windows 和 Adobe Reader 中的 0-day 攻击。作为我们对该恶意软件实用性调查的一部分，微软与 Subzero 受害者的通信显示，他们没有委托任何红队或渗透测试，并确认这是未经授权的恶意活动。

迄今为止，观察到的受害者包括奥地利、英国和巴拿马等国家的律师事务所、银行和战略咨询公司。

需要注意的是，一个国家/地区的目标识别并不一定意味着 DSIRF 客户居住在同一个国家/地区，因为国际定位很常见。”

微软的报告中包含了一套全面的妥协指标和防御建议。

Untangling KNOTWEED：使用 0-day 漏洞的欧洲私营部门攻击者

https://www.microsoft.com/security/blog/2022/07/27/untangling-knotweed-european-private-sector-offensive-actor-using-0-day-exploits/

原文始发于微信公众号（网络研究院）：私营部门的网络武器