Subzero Malware

Uočeno je da napadački akter iz privatnog sektora (PSOA) koristi višestruke ranjivosti sustava WIndows i Adobe zero-day kako bi zarazio žrtve interno razvijenim zlonamjernim softverom koji se prati kao Subzero. Pojedinosti o akteru prijetnje i Subzero malwareu objavljeni su u izvješću Microsoft Threat Intelligence Center (MSTIC). Istraživači ovaj PSOA prate kao KNOTWEED i vjeruju da se radi o prijetnji sa sjedištem u Austriji pod imenom DSIRF.

KNOTWEED će vjerojatno pružiti kombinaciju dva različita modela - pristup kao usluga i hakiranje za unajmljivanje, budući da grupa prodaje svoj Subzero zlonamjerni softver trećim stranama, dok se čini da ima izravniju uključenost u određene napade. Među žrtvama su odvjetnička društva, konzultantske agencije i banke u Austriji, Velikoj Britaniji i Panami.

Subzero Malware Detalji

Prijetnja Subzero isporučuje se odabranim ciljevima kroz različite metode infekcije. Napadači su zloupotrijebili zero-day exploite, kao što je CVE-2022-22047. Osim toga, zlonamjerni je softver postavljen putem eksplozivne datoteke u obliku oružja, pretvarajući se da je dokument o nekretninama. Datoteka je sadržavala oštećenu makronaredbu koja pokreće isporuku Subzero na žrtvin uređaj.

Kako bi se izbjeglo otkrivanje, glavni teret prijetnje gotovo se u potpunosti nalazi u memoriji. Njegove invazivne mogućnosti uključuju keylogging, snimanje zaslona, otvaranje udaljene ljuske i izvršavanje naredbi, eksfiltraciju datoteka i više. Osim toga, zlonamjerni softver može dobiti upute da dohvati i pokrene dodatne dodatke s Command-and-Control (C2, C&C) poslužitelja kampanje napada.