​7月28日消息，微软微软安全和威胁情报团队称发现一家奥地利公司销售间谍软件DSIRF，现奥该软件是地利基于未知的Windows漏洞开发。当前的间谍受害者包括奥地利 、英国和巴拿马等国的团伙律师事务所
、银行和战略咨询公司 。免费模板利用

DSIRF声称帮助跨国公司进行风险分析和收集商业情报
。攻击微软威胁情报中心（MSTIC）分析发现，欧洲间谍软件DSIRF利用Windows的组织零日特权升级漏洞和Adobe Reader远程代码漏洞执行攻击 。微软表示 ，微软DSIRF利用的现奥漏洞目前在更新补丁中已经修补 。在内部，地利微软以代号KNOTWEED对DSIRF进行追踪，源码库间谍并表示该公司还与SubZero恶意软件的团伙开发和销售有关
。

MSTIC发现DSIRF与恶意软件之间有多种联系，利用包括恶意软件使用的命令和控制基础设施直接链接到DSIRF 、一个与DSIRF相关的GitHub账户被用于一次攻击 、发给DSIRF的代码签名证书被用于签署一个漏洞。香港云服务器

攻击中出现的CVE-2022-22047漏洞能从沙盒中逃脱 。微软解释，该漏洞链开始时 ，从沙盒中的Adobe Reader渲染器进程写入一个恶意DLL到磁盘。然后，CVE-2022-22047漏洞被用来瞄准一个系统进程 ，通过提供一个应用程序清单，建站模板其中有一个未记录的属性，指定恶意DLL的路径。当系统进程下一次生成时，恶意激活上下文中的属性被使用，恶意DLL从给定的路径加载 ，高防服务器从而执行系统级代码。

调查人员已经确定了DSIRF控制下的一系列IP地址 ，该基础设施主要由Digital Ocean和Choopa托管
，至少从2020年2月开始就积极为恶意软件提供服务，并持续到现在 。

微软建议保持最新的补丁和恶意软件检测，并注意破坏后的亿华云行动，如凭证转储和启用明文凭证 。

 ​