Subzero Malware

Subzero Malware Popis

Útočný aktér v súkromnom sektore (PSOA) bol spozorovaný pomocou viacerých zraniteľností WIndows a Adobe zero-day na infikovanie obetí interne vyvinutým malvérom sledovaným ako Subzero. Podrobnosti o aktérovi hrozby a malvéri Subzero boli zverejnené v správe centra Microsoft Threat Intelligence Center (MSTIC). Výskumníci sledujú tento konkrétny PSOA ako KNOTWEED a veria, že ide o rakúskeho aktéra hrozby s názvom DSIRF.

KNOTWEED pravdepodobne poskytne kombináciu dvoch rôznych modelov – access-as-a-service a hack-for-hire, keďže skupina predáva svoj subzero malvér tretím stranám a zároveň sa zdá, že má priamejšie zapojenie do určitých útokov. Medzi obete patria právnické firmy, poradenské agentúry a banky so sídlom v Rakúsku, Spojenom kráľovstve a Paname.

Podrobnosti Subzero Malware

Hrozba Subzero je doručená vybraným cieľom prostredníctvom rôznych metód infekcie. Útočníci zneužívali zero-day exploity, ako napríklad CVE-2022-22047. Okrem toho bol malvér nasadený prostredníctvom súboru Excel so zbraňami, ktorý predstieral, že ide o dokument o nehnuteľnostiach. Súbor obsahoval poškodené makro, ktoré spúšťa doručenie Subzero do zariadenia obete.

Aby sa predišlo detekcii, hlavná záťaž hrozby sa takmer úplne nachádza v pamäti. Jeho invazívne schopnosti zahŕňajú keylogging, zachytávanie snímok obrazovky, otváranie vzdialeného shellu a vykonávanie príkazov, exfiltráciu súborov a ďalšie. Okrem toho môže malvér dostať pokyn, aby získal a spustil ďalšie doplnky zo servera Command-and-Control (C2, C&C) kampane útoku.