Субзеро Малваре

Уочен је нападач приватног сектора (ПСОА) који користи вишеструке рањивости нултог дана у систему Виндовс и Адобе да би заразио жртве интерно развијеним малвером праћеним као Субзеро. Детаљи о актеру претње и малверу Субзеро објављени су у извештају Мицрософт Тхреат Интеллигенце Центер (МСТИЦ). Истраживачи прате ову конкретну ПСОА као КНОТВЕЕД и верују да је реч о претњи са седиштем у Аустрији по имену ДСИРФ.

КНОТВЕЕД ће вероватно обезбедити комбинацију два различита модела – приступ као-услуга и хацк-фор-хире, пошто група продаје свој Субзеро малвер трећим странама, а такође изгледа да има директније учешће у одређеним нападима. Међу жртвама су адвокатске фирме, консултантске агенције и банке у Аустрији, Великој Британији и Панами.

Субзеро Малвер Детаилс

Претња испод нуле се испоручује изабраним циљевима кроз различите методе инфекције. Нападачи су злоупотребили експлоатације нултог дана, као што је ЦВЕ-2022-22047. Поред тога, злонамерни софтвер је распоређен преко наоружане Екцел датотеке, претварајући се да је документ о некретнинама. Датотека је садржала оштећени макро који покреће испоруку Субзеро на уређај жртве.

Да би се избегло откривање, главни терет претње се скоро у потпуности налази у меморији. Његове инвазивне могућности укључују кеилоггинг, снимање екрана, отварање удаљене љуске и извршавање команди, ексфилтрацију датотека и још много тога. Поред тога, злонамерном софтверу се може наложити да преузме и покрене додатне додатке са сервера за команду и контролу (Ц2, Ц&Ц) у кампањи напада.