Subzero Malware

S'ha observat un actor ofensiu del sector privat (PSOA) que utilitza múltiples WINdows i vulnerabilitats de dia zero d'Adobe per infectar les víctimes amb un programari maliciós desenvolupat internament i rastrejat com a Subzero. Els detalls sobre l'actor de l'amenaça i el programari maliciós Subzero es van publicar en un informe del Microsoft Threat Intelligence Center (MSTIC). Els investigadors fan un seguiment d'aquest PSOA en particular com a KNOTWEED i creuen que és un actor d'amenaça amb seu a Àustria anomenat DSIRF.

És probable que KNOTWEED ofereixi una combinació de dos models diferents: accés com a servei i pirateig per lloguer, ja que el grup ven el seu programari maliciós Subzero a tercers alhora que sembla tenir una implicació més directa en determinats atacs. Les víctimes inclouen despatxos d'advocats, agències de consultoria i bancs situats a Àustria, el Regne Unit i Panamà.

Detalls de programari maliciós subzero

L'amenaça Subzero s'envia als objectius escollits mitjançant una varietat de mètodes d'infecció. Els atacants van abusar d'explotacions de dia zero, com ara CVE-2022-22047. A més, el programari maliciós es va desplegar mitjançant un fitxer Excel armat, fent veure que era un document immobiliari. El fitxer contenia una macro danyada que activa el lliurament de Subzero al dispositiu de la víctima.

Per evitar la detecció, la càrrega útil principal de l'amenaça resideix gairebé completament a la memòria. Les seves capacitats invasives inclouen el registre de tecles, la captura de captures de pantalla, l'obertura d'un shell remot i l'execució d'ordres, l'exfiltració de fitxers i molt més. A més, es pot indicar al programari maliciós que recuperi i executi complements addicionals des del servidor Command-and-Control (C2, C&C) de la campanya de l'atac.