Subzero Malware

Megfigyeltek egy magánszektorbeli támadó szereplőt (PSOA), amely több WIndows és Adobe nulladik napi sebezhetőséget használt, hogy megfertőzze az áldozatokat egy belső fejlesztésű, Subzero néven nyomon követett rosszindulatú programmal. A fenyegetés szereplőjéről és a Subzero kártevőről a Microsoft Threat Intelligence Center (MSTIC) jelentésében hozták nyilvánosságra a részleteket. A kutatók ezt a bizonyos PSOA-t KNOTWEED néven követik, és úgy vélik, hogy ez egy DSIRF nevű ausztriai fenyegetőző.

A KNOTWEED valószínűleg két különböző modell kombinációját kínálja – a szolgáltatásként való hozzáférést és a hack-for-hire-t, mivel a csoport mindkét félnek eladja Subzero kártevőit, miközben úgy tűnik, hogy közvetlenebbül is részt vesz bizonyos támadásokban. Az áldozatok között vannak Ausztriában, az Egyesült Királyságban és Panamában működő ügyvédi irodák, tanácsadó irodák és bankok.

Subzero Malware Details

A Subzero fenyegetést különféle fertőzési módszerekkel juttatják el a kiválasztott célpontokhoz. A támadók visszaéltek a nulladik napi támadásokkal, mint például a CVE-2022-22047. Ezenkívül a kártevőt egy fegyveres Excel-fájlon keresztül telepítették, ingatlandokumentumnak adva ki magát. A fájl egy sérült makrót tartalmazott, amely kiváltja a Subzero kézbesítését az áldozat eszközére.

Az észlelés elkerülése érdekében a fenyegetés fő hasznos terhelése szinte teljes egészében a memóriában található. Invazív képességei közé tartozik a billentyűnaplózás, a képernyőképek rögzítése, a távoli shell megnyitása és a parancsok végrehajtása, a fájlok kiszűrése és még sok más. Ezen túlmenően a kártevő utasítható további bővítmények letöltésére és futtatására a támadás kampányának Command-and-Control (C2, C&C) szerveréről.