Subzero Malware

لوحظ وجود ممثل هجومي للقطاع الخاص (PSOA) يستخدم ثغرات WIndows و Adobe Zero-day لإصابة الضحايا ببرنامج ضار مطور داخليًا يتم تعقبه باسم Subzero. تم إصدار تفاصيل حول عامل التهديد والبرامج الضارة Subzero في تقرير صادر عن Microsoft Threat Intelligence Center (MSTIC). يتتبع الباحثون PSOA هذا على وجه التحديد باعتباره KNOTWEED ويعتقدون أنه ممثل تهديد مقره النمسا يُدعى DSIRF.

من المرجح أن تقدم شركة KNOTWEED مزيجًا من نموذجين مختلفين - الوصول كخدمة والقرصنة مقابل الاستئجار ، حيث تبيع المجموعة برامجها الخبيثة Subzero إلى أطراف ثالثة بينما يبدو أيضًا أن لها دورًا مباشرًا في هجمات معينة. يشمل الضحايا مكاتب المحاماة والوكالات الاستشارية والبنوك الموجودة في النمسا والمملكة المتحدة وبنما.

تفاصيل البرامج الضارة Subzero

يتم تسليم تهديد Subzero إلى الأهداف المختارة من خلال مجموعة متنوعة من طرق العدوى. أساء المهاجمون استغلال ثغرات يوم الصفر ، مثل CVE-2022-22047. بالإضافة إلى ذلك ، تم نشر البرنامج الضار عبر ملف Excel مُسلح ، متظاهرًا بأنه مستند عقاري. احتوى الملف على ماكرو تالف يؤدي إلى تسليم Subzero إلى جهاز الضحية.

لتجنب الاكتشاف ، تكمن الحمولة الرئيسية للتهديد في الذاكرة بالكامل تقريبًا. تشمل قدراته الغازية تسجيل لوحة المفاتيح والتقاط لقطات الشاشة وفتح غلاف بعيد وتنفيذ الأوامر واستخراج الملفات والمزيد. بالإضافة إلى ذلك ، يمكن توجيه البرامج الضارة لجلب وتشغيل مكونات إضافية من خادم الأوامر والتحكم (C2 ، C&C) لحملة الهجوم.