Subzero Malware

Seorang Pelakon Offensif Sektor Swasta (PSOA) telah diperhatikan menggunakan pelbagai WIndows dan kerentanan sifar hari Adobe untuk menjangkiti mangsa dengan perisian hasad yang dibangunkan secara dalaman yang dijejaki sebagai Subzero. Butiran mengenai pelakon ancaman dan perisian hasad Subzero telah dikeluarkan dalam laporan oleh Pusat Perisikan Ancaman Microsoft (MSTIC). Para penyelidik menjejaki PSOA khusus ini sebagai KNOTWEED dan percaya ia adalah pelakon ancaman yang berpangkalan di Austria bernama DSIRF.

KNOTWEED berkemungkinan menyediakan gabungan dua model berbeza - akses-sebagai-perkhidmatan dan godam-untuk-sewa, kerana kedua-dua kumpulan itu menjual perisian hasad Subzeronya kepada pihak ketiga sambil juga kelihatan lebih terlibat secara langsung dalam serangan tertentu. Mangsa termasuk firma guaman, agensi perundingan dan bank yang terletak di Austria, UK dan Panama.

Butiran Perisian Hasad Subzero

Ancaman Subzero dihantar kepada sasaran yang dipilih melalui pelbagai kaedah jangkitan. Penyerang menyalahgunakan eksploitasi sifar hari, seperti CVE-2022-22047. Di samping itu, perisian hasad telah digunakan melalui fail Excel bersenjata, berpura-pura sebagai dokumen hartanah. Fail itu mengandungi makro rosak yang mencetuskan penghantaran Subzero ke peranti mangsa.

Untuk mengelakkan pengesanan, muatan utama ancaman berada dalam ingatan hampir keseluruhannya. Keupayaan invasifnya termasuk pengelogan kunci, menangkap tangkapan skrin, membuka cangkerang jauh dan melaksanakan arahan, penyingkiran fail dan banyak lagi. Selain itu, perisian hasad boleh diarahkan untuk mengambil dan menjalankan pemalam tambahan daripada pelayan Command-and-Control (C2, C&C) kempen serangan itu.