بدافزار Subzero

بدافزار Subzero توضیحات

یک عامل توهین آمیز بخش خصوصی (PSOA) با استفاده از چندین آسیب پذیری ویندوز و Adobe zero-day برای آلوده کردن قربانیان به یک بدافزار داخلی که تحت عنوان Subzero ردیابی می شود، مشاهده شده است. جزئیات مربوط به عامل تهدید و بدافزار Subzero در گزارشی توسط مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) منتشر شد. محققان این PSOA خاص را به‌عنوان KNOTWEED دنبال می‌کنند و معتقدند که یک عامل تهدید مستقر در اتریش به نام DSIRF است.

KNOTWEED احتمالا ترکیبی از دو مدل مختلف را ارائه می‌کند - دسترسی به عنوان سرویس و هک برای استخدام، زیرا این گروه هر دو بدافزار Subzero خود را به اشخاص ثالث می‌فروشند در حالی که به نظر می‌رسد در حملات خاص دخالت مستقیم تری دارند. قربانیان شامل شرکت‌های حقوقی، آژانس‌های مشاوره، و بانک‌های مستقر در اتریش، بریتانیا و پاناما هستند.

جزئیات بدافزار Subzero

تهدید Subzero از طریق انواع روش های آلودگی به اهداف انتخاب شده تحویل داده می شود. مهاجمان از اکسپلویت های روز صفر مانند CVE-2022-22047 سوء استفاده کردند. علاوه بر این، این بدافزار از طریق یک فایل اکسل مسلح شده با تظاهر به یک سند ملکی مستقر شده است. این فایل حاوی یک ماکرو خراب بود که باعث تحویل Subzero به دستگاه قربانی می‌شود.

برای جلوگیری از شناسایی، محموله اصلی تهدید تقریباً به طور کامل در حافظه قرار دارد. قابلیت های تهاجمی آن عبارتند از keylogging، گرفتن اسکرین شات، باز کردن پوسته از راه دور و اجرای دستورات، استخراج فایل و موارد دیگر. علاوه بر این، می توان به بدافزار دستور داد تا افزونه های اضافی را از سرور Command-and-Control (C2, C&C) کمپین حمله واکشی و اجرا کند.