Subzero Malware

En offensiv aktör från den privata sektorn (PSOA) har observerats använda flera Windows och Adobes zero-day sårbarheter för att infektera offer med en internt utvecklad skadlig programvara spårad som Subzero. Detaljer om hotaktören och Subzero malware släpptes i en rapport från Microsoft Threat Intelligence Center (MSTIC). Forskarna spårar just denna PSOA som KNOTWEED och tror att det är en Österrike-baserad hotaktör vid namn DSIRF.

KNOTWEED kommer sannolikt att tillhandahålla en kombination av två olika modeller - access-as-a-service och hack-for-hire, eftersom gruppen både säljer sin Subzero malware till tredje part samtidigt som den verkar ha mer direkt inblandning i vissa attacker. Offren inkluderar advokatbyråer, konsultbyråer och banker i Österrike, Storbritannien och Panama.

Subzero Malware Detaljer

Subzero-hotet levereras till de valda målen genom en mängd olika infektionsmetoder. Angripare missbrukade zero-day exploits, som CVE-2022-22047. Dessutom distribuerades skadlig programvara via en beväpnad Excel-fil, som låtsades vara ett fastighetsdokument. Filen innehöll ett skadat makro som utlöser leveransen av Subzero till offrets enhet.

För att undvika upptäckt finns hotets huvudsakliga nyttolast i minnet nästan helt. Dess invasiva funktioner inkluderar tangentloggning, ta skärmdumpar, öppna ett fjärrskal och köra kommandon, filexfiltrering och mer. Dessutom kan skadlig programvara instrueras att hämta och köra ytterligare plugins från Command-and-Control-servern (C2, C&C) för attackens kampanj.