Subzero Malware

שחקן פוגעני במגזר הפרטי (PSOA) נצפה תוך שימוש בפגיעויות מרובות של Windows ו-Adobe zero day כדי להדביק קורבנות בתוכנה זדונית שפותחה באופן פנימי, המלווה ב-Subzero. פרטים על שחקן האיום והתוכנה הזדונית Subzero פורסמו בדו"ח של Microsoft Threat Intelligence Center (MSTIC). החוקרים עוקבים אחר ה-PSOA הספציפי הזה בתור KNOTWEED ומאמינים שזהו שחקן איום מאוסטרי בשם DSIRF.

KNOTWEED עשויה לספק שילוב של שני דגמים שונים - גישה כשירות ופריצה להשכרה, שכן הקבוצה גם מוכרת את התוכנה הזדונית Subzero שלה לצדדים שלישיים ובמקביל גם נראה שיש לה מעורבות ישירה יותר בהתקפות מסוימות. הקורבנות כוללים משרדי עורכי דין, סוכנויות ייעוץ ובנקים הממוקמים באוסטריה, בריטניה ופנמה.

Subzero Malware פרטי

איום Subzero מועבר למטרות הנבחרות באמצעות מגוון שיטות זיהום. התוקפים ניצלו לרעה ניצול של יום אפס, כגון CVE-2022-22047. בנוסף, התוכנה הזדונית נפרסה באמצעות קובץ אקסל עם נשק, שהתחזה למסמך נדל"ן. הקובץ הכיל מאקרו פגום שמפעיל את המסירה של Subzero למכשיר של הקורבן.

כדי להימנע מזיהוי, המטען העיקרי של האיום נמצא בזיכרון כמעט כולו. היכולות הפולשניות שלו כוללות רישום מקשים, לכידת צילומי מסך, פתיחת מעטפת מרחוק וביצוע פקודות, סילוק קבצים ועוד. בנוסף, ניתן להנחות את התוכנה הזדונית להביא ולהפעיל תוספים נוספים משרת Command-and-Control (C2, C&C) של מסע הפרסום של המתקפה.