Subzero Malware

Subzero Malware Beschrijving

Er is waargenomen dat een aanvallende actor uit de particuliere sector (PSOA) meerdere WIndows en Adobe zero-day-kwetsbaarheden gebruikt om slachtoffers te infecteren met een intern ontwikkelde malware die wordt bijgehouden als Subzero. Details over de dreigingsactor en de Subzero-malware zijn vrijgegeven in een rapport van het Microsoft Threat Intelligence Center (MSTIC). De onderzoekers volgen deze specifieke PSOA als KNOTWEED en denken dat het een in Oostenrijk gevestigde bedreigingsacteur is, genaamd DSIRF.

KNOTWEED zal waarschijnlijk een combinatie bieden van twee verschillende modellen - access-as-a-service en hack-for-hire, aangezien de groep beide zijn Subzero-malware aan derden verkoopt en tegelijkertijd meer directe betrokkenheid lijkt te hebben bij bepaalde aanvallen. Slachtoffers zijn onder meer advocatenkantoren, adviesbureaus en banken in Oostenrijk, het VK en Panama.

Subzero Malware-details

De Subzero-dreiging wordt via verschillende infectiemethoden naar de gekozen doelen gebracht. Aanvallers maakten misbruik van zero-day exploits, zoals CVE-2022-22047. Bovendien werd de malware ingezet via een bewapend Excel-bestand, dat zich voordeed als een onroerendgoeddocument. Het bestand bevatte een beschadigde macro die de levering van Subzero op het apparaat van het slachtoffer activeert.

Om detectie te voorkomen, bevindt de belangrijkste lading van de dreiging zich bijna volledig in het geheugen. De invasieve mogelijkheden omvatten keylogging, het maken van screenshots, het openen van een externe shell en het uitvoeren van opdrachten, bestandsexfiltratie en meer. Bovendien kan de malware de opdracht krijgen om extra plug-ins op te halen en uit te voeren van de Command-and-Control (C2, C&C)-server van de aanvalscampagne.