Subzero Malware

Opazili so napadalnega akterja zasebnega sektorja (PSOA), ki uporablja več ranljivosti ničelnega dne v sistemih WIndows in Adobe za okužbo žrtev z interno razvito zlonamerno programsko opremo, ki je označena kot Subzero. Podrobnosti o akterju grožnje in zlonamerni programski opremi Subzero so bile objavljene v poročilu Microsoftovega centra za obveščanje o grožnjah (MSTIC). Raziskovalci to posebno PSOA označijo kot KNOTWEED in menijo, da gre za akterja grožnje s sedežem v Avstriji, imenovanega DSIRF.

KNOTWEED bo verjetno zagotovil kombinacijo dveh različnih modelov – dostop kot storitev in vdiranje za najem, saj skupina oba prodaja svojo zlonamerno programsko opremo Subzero tretjim osebam, hkrati pa se zdi, da je bolj neposredno vpletena v določene napade. Med žrtvami so odvetniške družbe, svetovalne agencije in banke v Avstriji, Združenem kraljestvu in Panami.

Subzero Malware Podrobnosti

Grožnja Subzero je izbranim tarčam posredovana z različnimi metodami okužbe. Napadalci so zlorabili izkoriščanja ničelnega dne, kot je CVE-2022-22047. Poleg tega je bila zlonamerna programska oprema nameščena prek oborožene datoteke Excel, ki se je pretvarjala, da je nepremičninski dokument. Datoteka je vsebovala poškodovan makro, ki sproži dostavo Subzero v napravo žrtve.

Da bi se izognili odkrivanju, je glavni tovor grožnje skoraj v celoti v pomnilniku. Njegove invazivne zmožnosti vključujejo beleženje tipk, zajemanje posnetkov zaslona, odpiranje oddaljene lupine in izvajanje ukazov, ekstrakcijo datotek in več. Poleg tega je zlonamerni programski opremi mogoče naročiti, da pridobi in zažene dodatne vtičnike iz strežnika Command-and-Control (C2, C&C) kampanje napada.