Subzero Malware

Subzero Malware Описание

Было замечено, что злоумышленник из частного сектора (PSOA) использует несколько уязвимостей нулевого дня WIndows и Adobe для заражения жертв вредоносным ПО собственной разработки, отслеживаемым как Subzero. Подробности об исполнителе угроз и вредоносном ПО Subzero были опубликованы в отчете Microsoft Threat Intelligence Center (MSTIC). Исследователи отслеживают этот конкретный PSOA как KNOTWEED и полагают, что это австрийский злоумышленник под названием DSIRF.

KNOTWEED, скорее всего, обеспечит комбинацию двух разных моделей — доступа как услуги и взлома по найму, поскольку группа продает свое вредоносное ПО Subzero третьим сторонам, а также, по-видимому, принимает более непосредственное участие в определенных атаках. Жертвами являются юридические фирмы, консультационные агентства и банки, расположенные в Австрии, Великобритании и Панаме.

Сведения о вредоносном ПО Subzero

Угроза Subzero доставляется к выбранным целям с помощью различных методов заражения. Злоумышленники злоупотребляли эксплойтами нулевого дня, такими как CVE-2022-22047. Кроме того, вредоносное ПО было развернуто через вооруженный файл Excel, притворяющийся документом о недвижимости. Файл содержал поврежденный макрос, запускающий доставку Subzero на устройство жертвы.

Чтобы избежать обнаружения, основная полезная нагрузка угрозы почти полностью находится в памяти. Его инвазивные возможности включают в себя регистрацию клавиатуры, захват снимков экрана, открытие удаленной оболочки и выполнение команд, эксфильтрацию файлов и многое другое. Кроме того, вредоносная программа может получить и запустить дополнительные плагины с сервера управления и контроля (C2, C&C) кампании атаки.