Subzero Malware

Наблюдаван е Private-Sector Offensive Actor (PSOA) да използва множество уязвимости от нулевия ден на WIndows и Adobe, за да зарази жертвите с вътрешно разработен зловреден софтуер, проследен като Subzero. Подробности за заплахата и злонамерения софтуер Subzero бяха публикувани в доклад на Microsoft Threat Intelligence Center (MSTIC). Изследователите проследяват този конкретен PSOA като KNOTWEED и смятат, че това е базиран в Австрия заплаха актьор на име DSIRF.

KNOTWEED вероятно ще предостави комбинация от два различни модела – достъп като услуга и хакване под наем, тъй като групата продава своя Subzero зловреден софтуер на трети страни, като същевременно изглежда, че има по-пряко участие в определени атаки. Жертвите включват адвокатски кантори, консултантски агенции и банки, разположени в Австрия, Обединеното кралство и Панама.

Subzero Подробности за зловреден софтуер

Заплахата Subzero се доставя до избраните цели чрез различни методи за заразяване. Нападателите са злоупотребявали с експлойти от нулевия ден, като CVE-2022-22047. В допълнение, злонамереният софтуер е внедрен чрез въоръжен Excel файл, представящ се за документ за недвижими имоти. Файлът съдържаше повреден макрос, който задейства доставката на Subzero към устройството на жертвата.

За да се избегне откриването, основният полезен товар на заплахата се намира почти изцяло в паметта. Неговите инвазивни възможности включват keylogging, заснемане на екранни снимки, отваряне на отдалечена обвивка и изпълнение на команди, ексфилтриране на файлове и др. В допълнение, злонамереният софтуер може да бъде инструктиран да извлича и изпълнява допълнителни плъгини от Command-and-Control (C2, C&C) сървъра на кампанията на атаката.