Subzero Malware

En offensiv aktør i den private sektor (PSOA) har blitt observert ved å bruke flere Windows- og Adobe zero-day-sårbarheter for å infisere ofre med en internt utviklet skadelig programvare sporet som Subzero. Detaljer om trusselaktøren og Subzero malware ble utgitt i en rapport fra Microsoft Threat Intelligence Center (MSTIC). Forskerne sporer denne spesielle PSOA som KNOTWEED og tror det er en Østerrike-basert trusselaktør ved navn DSIRF.

KNOTWEED vil sannsynligvis gi en kombinasjon av to forskjellige modeller - tilgang-som-en-tjeneste og hack-for-hire, ettersom gruppen både selger Subzero malware til tredjeparter, samtidig som den ser ut til å ha mer direkte involvering i visse angrep. Ofrene inkluderer advokatfirmaer, konsulentbyråer og banker i Østerrike, Storbritannia og Panama.

Subzero Malware-detaljer

Subzero-trusselen leveres til de valgte målene gjennom en rekke infeksjonsmetoder. Angripere misbrukte nulldagers utnyttelser, for eksempel CVE-2022-22047. I tillegg ble skadevaren distribuert via en våpenbeskyttet Excel-fil, som utgir seg for å være et eiendomsdokument. Filen inneholdt en ødelagt makro som utløser levering av Subzero til offerets enhet.

For å unngå oppdagelse ligger hovednyttelasten til trusselen nesten utelukkende i minnet. Dens invasive evner inkluderer tastelogging, ta skjermbilder, åpne et eksternt skall og utføre kommandoer, fileksfiltrering og mer. I tillegg kan skadelig programvare bli bedt om å hente og kjøre flere plugins fra Command-and-Control-serveren (C2, C&C) til angrepets kampanje.