Subzero kenkėjiška programa

Subzero kenkėjiška programa Aprašymas

Pastebėta, kad privataus sektoriaus įžeidžiantis veikėjas (PSOA) naudoja kelis „WIndows“ ir „Adobe“ nulinės dienos pažeidžiamumus, kad užkrėstų aukas viduje sukurta kenkėjiška programa, pažymėta kaip „Subzero“. Išsami informacija apie grėsmės veikėją ir „Subzero“ kenkėjišką programą buvo paskelbta „Microsoft Threat Intelligence Center“ (MSTIC) ataskaitoje. Tyrėjai stebi šį konkretų PSOA kaip KNOTWEED ir mano, kad tai yra Austrijoje įsikūręs grėsmės veikėjas, vardu DSIRF.

Tikėtina, kad KNOTWEED pateiks dviejų skirtingų modelių derinį – prieigą kaip paslaugą ir įsilaužimą, nes grupė parduoda savo „Subzero“ kenkėjiškas programas trečiosioms šalims, o taip pat atrodo, kad ji labiau tiesiogiai dalyvauja tam tikrose atakose. Tarp aukų yra advokatų kontoros, konsultacijų agentūros ir bankai, esantys Austrijoje, JK ir Panamoje.

Subzero kenkėjiškų programų informacija

Subzero grėsmė į pasirinktus taikinius perduodama įvairiais infekcijos būdais. Užpuolikai piktnaudžiavo nulinės dienos išnaudojimais, tokiais kaip CVE-2022-22047. Be to, kenkėjiška programa buvo dislokuota naudojant ginkluotą „Excel“ failą, apsimetant nekilnojamojo turto dokumentu. Faile buvo sugadinta makrokomanda, kuri suaktyvina Subzero pristatymą į aukos įrenginį.

Siekiant išvengti aptikimo, pagrindinė grėsmės apkrova beveik visa yra atmintyje. Jo invazinės galimybės apima klaviatūros registravimą, ekrano kopijų fiksavimą, nuotolinio apvalkalo atidarymą ir komandų vykdymą, failų išfiltravimą ir kt. Be to, kenkėjiška programa gali būti nurodyta gauti ir paleisti papildomus papildinius iš atakos kampanijos komandų ir valdymo (C2, C&C) serverio.