Subzero Malware

Ir novērots privātā sektora aizskarošs aktieris (PSOA), kas izmanto vairākas Windows un Adobe nulles dienas ievainojamības, lai inficētu upurus ar iekšēji izstrādātu ļaunprogrammatūru, kas izsekota kā Subzero. Sīkāka informācija par draudu izraisītāju un Subzero ļaunprogrammatūru tika publicēta Microsoft draudu izlūkošanas centra (MSTIC) ziņojumā. Pētnieki izseko šo konkrēto PSOA kā KNOTWEED un uzskata, ka tas ir Austrijā bāzēts draudu aktieris ar nosaukumu DSIRF.

Visticamāk, KNOTWEED nodrošinās divu dažādu modeļu kombināciju - piekļuvi kā pakalpojumu un uzlaušanu, jo grupa pārdod savu Subzero ļaunprātīgu programmatūru trešajām pusēm, vienlaikus šķiet, ka tai ir tiešāka līdzdalība noteiktos uzbrukumos. Upuru vidū ir advokātu biroji, konsultāciju aģentūras un bankas, kas atrodas Austrijā, Apvienotajā Karalistē un Panamā.

Sīkāka informācija par ļaunprātīgu programmatūru

Subzero draudi tiek piegādāti izvēlētajiem mērķiem, izmantojot dažādas infekcijas metodes. Uzbrucēji ļaunprātīgi izmantoja nulles dienas varoņdarbus, piemēram, CVE-2022-22047. Turklāt ļaunprogrammatūra tika izvietota, izmantojot ieroču Excel failu, izliekoties par nekustamā īpašuma dokumentu. Failā bija bojāts makro, kas aktivizē Subzero piegādi upura ierīcei.

Lai izvairītos no atklāšanas, galvenā apdraudējuma slodze gandrīz pilnībā atrodas atmiņā. Tās invazīvās iespējas ietver taustiņu reģistrēšanu, ekrānuzņēmumu tveršanu, attālās čaulas atvēršanu un komandu izpildi, failu eksfiltrāciju un daudz ko citu. Turklāt ļaunprogrammatūrai var tikt uzdots ienest un palaist papildu spraudņus no uzbrukuma kampaņas Command-and-Control (C2, C&C) servera.