Subzero Malware

Täheldatud on erasektori solvavat tegutsejat (PSOA), mis kasutab mitut WIndowsi ja Adobe nullpäeva turvaauku, et nakatada ohvreid sisemiselt arendatud pahavaraga, mida jälgitakse kui Subzero. Üksikasjad ohutegija ja Subzero pahavara kohta avaldati Microsoft Threat Intelligence Centeri (MSTIC) aruandes. Teadlased jälgivad seda konkreetset PSOA-d kui KNOTWEED-i ja usuvad, et see on Austrias asuv ohutegija nimega DSIRF.

KNOTWEED pakub tõenäoliselt kombinatsiooni kahest erinevast mudelist - juurdepääs teenusena ja häkkimine, kuna grupp müüb mõlemad oma Subzero pahavara kolmandatele osapooltele, näib samas olevat ka teatud rünnakutes otsesem osalus. Ohvrite hulgas on Austrias, Ühendkuningriigis ja Panamas asuvad advokaadibürood, konsultatsioonibürood ja pangad.

Pahavara üksikasjad alla nulli

Subzero oht toimetatakse valitud sihtmärkideni mitmesuguste nakkusmeetodite kaudu. Ründajad kuritarvitasid nullpäeva rünnakuid, nagu CVE-2022-22047. Lisaks juurutati pahavara relvastatud Exceli faili kaudu, teeseldes, et see on kinnisvaradokument. Fail sisaldas rikutud makrot, mis käivitab Subzero edastamise ohvri seadmesse.

Avastamise vältimiseks on ohu põhikoormus peaaegu täielikult mälus. Selle invasiivsed võimalused hõlmavad klahvilogimist, ekraanipiltide jäädvustamist, kaugshelli avamist ja käskude täitmist, failide eksfiltreerimist ja palju muud. Lisaks saab pahavarale anda korralduse tõmmata ja käivitada täiendavaid pluginaid rünnaku kampaania Command-and-Control (C2, C&C) serverist.