Subzero Malware

PSOA(Private-Sector Offensive Actor)가 여러 WINdows 및 Adobe 제로데이 취약점을 사용하여 Subzero로 추적되는 내부 개발 맬웨어로 피해자를 감염시키는 것으로 관찰되었습니다. 위협 행위자와 Subzero 악성 코드에 대한 세부 정보는 MSTIC(Microsoft Threat Intelligence Center)의 보고서에서 발표되었습니다. 연구원들은 이 특정 PSOA를 KNOTWEED로 추적하고 DSIRF라는 이름의 오스트리아 기반 위협 행위자를 믿습니다.

KNOTWEED는 서비스로서의 접근과 고용을 위한 해킹이라는 두 가지 모델의 조합을 제공할 가능성이 높습니다. 두 그룹 모두 특정 공격에 더 직접적으로 관여하는 것처럼 보이기 때문에 Subzero 악성코드를 제3자에게 판매하기 때문입니다. 피해자는 오스트리아, 영국 및 파나마에 위치한 법률 회사, 컨설팅 기관 및 은행을 포함합니다.

Subzero Malware 세부정보

Subzero 위협은 다양한 감염 방법을 통해 선택된 대상에게 전달됩니다. 공격자는 CVE-2022-22047과 같은 제로 데이 익스플로잇을 남용했습니다. 또한 악성코드는 부동산 문서를 가장한 무기화된 엑셀 파일을 통해 배포됐다. 파일에는 피해자의 기기에 Subzero를 전달하는 손상된 매크로가 포함되어 있습니다.

탐지를 피하기 위해 위협의 주요 페이로드는 거의 완전히 메모리에 있습니다. 침입 기능에는 키로깅, 스크린샷 캡처, 원격 셸 열기 및 명령 실행, 파일 추출 등이 포함됩니다. 또한 악성코드는 공격 캠페인의 Command-and-Control(C2, C&C) 서버에서 추가 플러그인을 가져와 실행하도록 지시할 수 있습니다.