Subzero Malware

Subzero Malware Beskrivelse

En offensiv aktør i den private sektor (PSOA) er blevet observeret ved at bruge flere Windows og Adobe zero-day sårbarheder til at inficere ofre med en internt udviklet malware sporet som Subzero. Detaljer om trusselsaktøren og Subzero-malwaren blev offentliggjort i en rapport fra Microsoft Threat Intelligence Center (MSTIC). Forskerne sporer denne særlige PSOA som KNOTWEED og mener, at det er en østrigsbaseret trusselaktør ved navn DSIRF.

KNOTWEED vil sandsynligvis levere en kombination af to forskellige modeller - access-as-a-service og hack-for-hire, da gruppen både sælger sin Subzero-malware til tredjeparter, samtidig med at den ser ud til at have mere direkte involvering i visse angreb. Ofrene omfatter advokatfirmaer, konsulentbureauer og banker i Østrig, Storbritannien og Panama.

Subzero Malware Detaljer

Subzero-truslen leveres til de valgte mål gennem en række forskellige infektionsmetoder. Angribere misbrugte zero-day exploits, såsom CVE-2022-22047. Derudover blev malwaren implementeret via en bevæbnet Excel-fil, der udgav sig for at være et ejendomsdokument. Filen indeholdt en korrupt makro, der udløser leveringen af Subzero til ofrets enhed.

For at undgå opdagelse ligger truslens hovednyttelast næsten udelukkende i hukommelsen. Dens invasive muligheder inkluderer keylogging, optagelse af skærmbilleder, åbning af en ekstern shell og udførelse af kommandoer, fileksfiltrering og mere. Derudover kan malwaren instrueres i at hente og køre yderligere plugins fra Command-and-Control-serveren (C2, C&C) for angrebets kampagne.