Subzero Malware

Zaobserwowano, że aktor ofensywny z sektora prywatnego (PSOA) wykorzystuje wiele luk w systemach Windows i Adobe zero-day, aby infekować ofiary wewnętrznie opracowanym złośliwym oprogramowaniem śledzonym jako Subzero. Szczegółowe informacje na temat cyberprzestępcy i złośliwego oprogramowania Subzero zostały opublikowane w raporcie Microsoft Threat Intelligence Center (MSTIC). Naukowcy śledzą ten konkretny PSOA jako KNOTWEED i uważają, że jest to działający w Austrii podmiot zajmujący się zagrożeniami o nazwie DSIRF.

KNOTWEED prawdopodobnie będzie stanowił kombinację dwóch różnych modeli – dostępu jako usługi i hakowania na zlecenie, ponieważ grupa sprzedaje swoje złośliwe oprogramowanie Subzero stronom trzecim, a jednocześnie wydaje się, że ma bardziej bezpośredni udział w niektórych atakach. Ofiary obejmują kancelarie prawne, agencje konsultingowe i banki zlokalizowane w Austrii, Wielkiej Brytanii i Panamie.

Szczegóły dotyczące złośliwego oprogramowania Subzero

Zagrożenie Subzero jest dostarczane do wybranych celów za pomocą różnych metod infekcji. Atakujący wykorzystali exploity dnia zerowego, takie jak CVE-2022-22047. Ponadto złośliwe oprogramowanie zostało wdrożone za pośrednictwem uzbrojonego pliku Excel, podszywając się pod dokument dotyczący nieruchomości. Plik zawierał uszkodzone makro, które uruchamia dostawę Subzero na urządzenie ofiary.

Aby uniknąć wykrycia, główny ładunek zagrożenia znajduje się prawie w całości w pamięci. Jego inwazyjne możliwości obejmują rejestrowanie klawiszy, przechwytywanie zrzutów ekranu, otwieranie zdalnej powłoki i wykonywanie poleceń, eksfiltrację plików i wiele innych. Ponadto złośliwe oprogramowanie może zostać poinstruowane, aby pobierało i uruchamiało dodatkowe wtyczki z serwera Command-and-Control (C2, C&C) kampanii ataku.