Subzero Malware

Ένας επιθετικός παράγοντας ιδιωτικού τομέα (PSOA) έχει παρατηρηθεί χρησιμοποιώντας πολλαπλές ευπάθειες των Windows και της Adobe zero-day για να μολύνει τα θύματα με ένα εσωτερικά ανεπτυγμένο κακόβουλο λογισμικό που παρακολουθείται ως Subzero. Λεπτομέρειες σχετικά με τον παράγοντα απειλής και το κακόβουλο λογισμικό Subzero κυκλοφόρησαν σε μια αναφορά από το Microsoft Threat Intelligence Center (MSTIC). Οι ερευνητές παρακολουθούν αυτό το συγκεκριμένο PSOA ως KNOTWEED και πιστεύουν ότι είναι ένας παράγοντας απειλής με έδρα την Αυστρία που ονομάζεται DSIRF.

Το KNOTWEED είναι πιθανό να παρέχει έναν συνδυασμό δύο διαφορετικών μοντέλων - πρόσβασης ως υπηρεσίας και εισβολής για ενοικίαση, καθώς η ομάδα πουλάει το κακόβουλο λογισμικό Subzero σε τρίτους, ενώ φαίνεται επίσης να έχει πιο άμεση ανάμειξη σε ορισμένες επιθέσεις. Στα θύματα περιλαμβάνονται δικηγορικά γραφεία, γραφεία συμβούλων και τράπεζες που βρίσκονται στην Αυστρία, το Ηνωμένο Βασίλειο και τον Παναμά.

Λεπτομέρειες Subzero Malware

Η απειλή Subzero παρέχεται στους επιλεγμένους στόχους μέσω μιας ποικιλίας μεθόδων μόλυνσης. Οι επιτιθέμενοι έκαναν κατάχρηση μηδενικής ημέρας, όπως το CVE-2022-22047. Επιπλέον, το κακόβουλο λογισμικό αναπτύχθηκε μέσω ενός οπλισμένου αρχείου Excel, προσποιούμενος ότι είναι ένα έγγραφο ακίνητης περιουσίας. Το αρχείο περιείχε μια κατεστραμμένη μακροεντολή που ενεργοποιεί την παράδοση του Subzero στη συσκευή του θύματος.

Για να αποφευχθεί ο εντοπισμός, το κύριο ωφέλιμο φορτίο της απειλής βρίσκεται σχεδόν εξ ολοκλήρου στη μνήμη. Οι επεμβατικές του δυνατότητες περιλαμβάνουν καταγραφή πλήκτρων, λήψη στιγμιότυπων οθόνης, άνοιγμα απομακρυσμένου κελύφους και εκτέλεση εντολών, εξαγωγή αρχείων και πολλά άλλα. Επιπλέον, το κακόβουλο λογισμικό μπορεί να λάβει οδηγίες για την ανάκτηση και εκτέλεση πρόσθετων προσθηκών από τον διακομιστή Command-and-Control (C2, C&C) της καμπάνιας της επίθεσης.