Subzero Malware

Subzero Malware Përshkrimi

Një Aktor Ofendues i Sektorit Privat (PSOA) është vërejtur duke përdorur dobësi të shumta të Windows dhe Adobe zero-day për të infektuar viktimat me një malware të zhvilluar brenda vendit të gjurmuar si Subzero. Detajet rreth aktorit të kërcënimit dhe malware Subzero u publikuan në një raport nga Microsoft Threat Intelligence Center (MSTIC). Studiuesit e gjurmojnë këtë PSOA të veçantë si KNOTWEED dhe besojnë se është një aktor kërcënimi me bazë në Austri i quajtur DSIRF.

KNOTWEED ka të ngjarë të sigurojë një kombinim të dy modeleve të ndryshme - akses-si-një-shërbim dhe hack-for-hire, pasi grupi të dy shet malware-in e tij Subzero tek palët e treta, ndërsa gjithashtu duket se ka përfshirje më të drejtpërdrejtë në sulme të caktuara. Viktimat përfshijnë firma ligjore, agjenci konsulence dhe banka të vendosura në Austri, MB dhe Panama.

Detajet Subzero Malware

Kërcënimi Subzero u dërgohet objektivave të zgjedhura përmes një sërë metodash infeksioni. Sulmuesit abuzuan me shfrytëzimet e ditës zero, si CVE-2022-22047. Përveç kësaj, malware u vendos përmes një skedari Excel të armatosur, duke pretenduar të jetë një dokument i pasurive të paluajtshme. Skedari përmbante një makro të korruptuar që shkakton dërgimin e Subzero në pajisjen e viktimës.

Për të shmangur zbulimin, ngarkesa kryesore e kërcënimit qëndron pothuajse tërësisht në memorie. Aftësitë e tij pushtuese përfshijnë regjistrimin e tastierëve, kapjen e pamjeve të ekranit, hapjen e një guaskë në distancë dhe ekzekutimin e komandave, ekfiltimin e skedarëve dhe më shumë. Përveç kësaj, malware mund të udhëzohet të marrë dhe ekzekutojë shtojca shtesë nga serveri Command-and-Control (C2, C&C) i fushatës së sulmit.