Subzero Malware

Un actor ofensiv din sectorul privat (PSOA) a fost observat folosind mai multe WINdows și vulnerabilități Adobe zero-day pentru a infecta victimele cu un malware dezvoltat intern urmărit ca Subzero. Detalii despre actorul amenințării și malware-ul Subzero au fost publicate într-un raport al Microsoft Threat Intelligence Center (MSTIC). Cercetătorii urmăresc acest PSOA special ca KNOTWEED și cred că este un actor de amenințare din Austria numit DSIRF.

KNOTWEED este probabil să ofere o combinație de două modele diferite - acces ca serviciu și hack-for-hire, deoarece grupul își vinde ambele malware Subzero unor terțe părți, în timp ce pare să aibă o implicare mai directă în anumite atacuri. Printre victime se numără firme de avocatură, agenții de consultanță și bănci situate în Austria, Marea Britanie și Panama.

Detalii Subzero malware

Amenințarea Subzero este livrată către țintele alese printr-o varietate de metode de infectare. Atacatorii au abuzat de exploit-uri zero-day, cum ar fi CVE-2022-22047. În plus, malware-ul a fost implementat printr-un fișier Excel armat, pretinzând a fi un document imobiliar. Fișierul conținea o macrocomandă coruptă care declanșează livrarea Subzero pe dispozitivul victimei.

Pentru a evita detectarea, sarcina utilă principală a amenințării rezidă aproape în întregime în memorie. Capacitățile sale invazive includ înregistrarea tastelor, capturarea de capturi de ecran, deschiderea unui shell de la distanță și executarea comenzilor, exfiltrarea fișierelor și multe altele. În plus, malware-ul poate fi instruit să preia și să ruleze pluginuri suplimentare de pe serverul Command-and-Control (C2, C&C) al campaniei atacului.