Subzero haittaohjelma

Subzero haittaohjelma Kuvaus

Yksityisen sektorin loukkaavaa toimijaa (PSOA) on havaittu käyttävän useita WIndowsin ja Adoben nollapäivän haavoittuvuuksia tartuttaakseen uhrit sisäisesti kehitetyllä haittaohjelmalla, joka jäljitetään nimellä Subzero. Yksityiskohdat uhkatekijästä ja Subzero-haittaohjelmasta julkaistiin Microsoft Threat Intelligence Centerin (MSTIC) raportissa. Tutkijat seuraavat tätä nimenomaista PSOA:ta nimellä KNOTWEED ja uskovat sen olevan Itävallassa toimiva DSIRF-niminen uhkatekijä.

KNOTWEED tarjoaa todennäköisesti yhdistelmän kahdesta eri mallista - pääsy-as-a-service ja hack-for-hire, koska ryhmä molemmat myy Subzero-haittaohjelmaansa kolmansille osapuolille, mutta näyttää myös olevan suoremmin osallisena tiettyihin hyökkäyksiin. Uhreja ovat lakitoimistot, konsulttitoimistot ja pankit Itävallassa, Isossa-Britanniassa ja Panamassa.

Subzero haittaohjelmien tiedot

Subzero-uhka toimitetaan valittuihin kohteisiin useilla tartuntamenetelmillä. Hyökkääjät käyttivät väärin nollapäivän hyökkäyksiä, kuten CVE-2022-22047. Lisäksi haittaohjelma otettiin käyttöön asetetun Excel-tiedoston kautta, joka teeskenteli kiinteistöasiakirjaksi. Tiedostossa oli vioittunut makro, joka laukaisee Subzeron toimituksen uhrin laitteelle.

Havaitsemisen välttämiseksi uhan päähyötykuorma on lähes kokonaan muistissa. Sen invasiivisia ominaisuuksia ovat näppäinloki, kuvakaappausten ottaminen, etäkuoren avaaminen ja komentojen suorittaminen, tiedostojen suodatus ja paljon muuta. Lisäksi haittaohjelma voidaan ohjeistaa hakemaan ja suorittamaan lisälaajennuksia hyökkäyksen kampanjan Command-and-Control (C2, C&C) -palvelimelta.