Subzero Malware

Útočný aktér soukromého sektoru (PSOA) byl pozorován pomocí několika zranitelností WIndows a Adobe zero-day k infikování obětí interně vyvinutým malwarem sledovaným jako Subzero. Podrobnosti o aktérovi hrozby a malwaru Subzero byly zveřejněny ve zprávě Microsoft Threat Intelligence Center (MSTIC). Výzkumníci sledují tento konkrétní PSOA jako KNOTWEED a věří, že jde o rakouského aktéra ohrožení jménem DSIRF.

KNOTWEED pravděpodobně poskytne kombinaci dvou různých modelů – access-as-a-service a hack-for-hire, protože skupina oba prodává svůj Subzero malware třetím stranám, přičemž se také zdá, že má přímější zapojení do určitých útoků. Mezi oběti patří právnické firmy, poradenské agentury a banky se sídlem v Rakousku, Spojeném království a Panamě.

Podrobnosti o subzero malwaru

Hrozba Subzero je doručena vybraným cílům prostřednictvím různých metod infekce. Útočníci zneužívali zero-day exploity, jako je CVE-2022-22047. Kromě toho byl malware nasazen prostřednictvím zbrojního souboru Excelu, který předstíral, že jde o nemovitostní dokument. Soubor obsahoval poškozené makro, které spouští doručení Subzero do zařízení oběti.

Aby se zabránilo odhalení, hlavní užitečné zatížení hrozby je téměř celé v paměti. Mezi jeho invazivní schopnosti patří keylogging, pořizování snímků obrazovky, otevírání vzdáleného shellu a spouštění příkazů, exfiltrace souborů a další. Kromě toho může být malware instruován, aby stáhl a spustil další pluginy ze serveru Command-and-Control (C2, C&C) kampaně útoku.