Subzero Malware

Subzero Malware Descrizione

È stato osservato un attore offensivo del settore privato (PSOA) che utilizza più vulnerabilità zero-day di Windows e Adobe per infettare le vittime con un malware sviluppato internamente e tracciato come Subzero. I dettagli sull'attore delle minacce e sul malware Subzero sono stati rilasciati in un rapporto del Microsoft Threat Intelligence Center (MSTIC). I ricercatori tracciano questo particolare PSOA come KNTWEED e credono che sia un attore di minacce con sede in Austria chiamato DSIRF.

È probabile che KNTWEED fornisca una combinazione di due diversi modelli: access-as-a-service e hack-for-hire, poiché il gruppo vende entrambi il proprio malware Subzero a terze parti e sembra anche avere un coinvolgimento più diretto in determinati attacchi. Le vittime includono studi legali, agenzie di consulenza e banche con sede in Austria, Regno Unito e Panama.

Dettagli malware Subzero

La minaccia Subzero viene consegnata ai bersagli scelti attraverso una varietà di metodi di infezione. Gli aggressori hanno abusato di exploit zero-day, come CVE-2022-22047. Inoltre, il malware è stato distribuito tramite un file Excel armato, fingendo di essere un documento immobiliare. Il file conteneva una macro danneggiata che attiva la consegna di Subzero al dispositivo della vittima.

Per evitare il rilevamento, il carico utile principale della minaccia risiede quasi interamente nella memoria. Le sue capacità invasive includono il keylogging, l'acquisizione di schermate, l'apertura di una shell remota e l'esecuzione di comandi, l'esfiltrazione di file e altro ancora. Inoltre, al malware può essere richiesto di recuperare ed eseguire plug-in aggiuntivi dal server Command-and-Control (C2, C&C) della campagna dell'attacco.