Subzero มัลแวร์

มีการตรวจพบ Private-Sector Offensive Actor (PSOA) โดยใช้ WIndows หลายรายการและช่องโหว่ซีโร่เดย์ของ Adobe เพื่อแพร่เชื้อไปยังเหยื่อด้วยมัลแวร์ที่พัฒนาขึ้นภายในซึ่งถูกติดตามเป็น Subzero รายละเอียดเกี่ยวกับผู้คุกคามและมัลแวร์ Subzero ได้รับการเปิดเผยในรายงานโดย Microsoft Threat Intelligence Center (MSTIC) นักวิจัยติดตาม PSOA โดยเฉพาะในชื่อ KNOTWEED และเชื่อว่าเป็น DSIRF ที่เป็นภัยคุกคามจากออสเตรีย

KNOTWEED มีแนวโน้มที่จะนำเสนอรูปแบบที่แตกต่างกันสองแบบ ได้แก่ access-as-a-service และ hack-for-hire เนื่องจากทั้งสองกลุ่มขายมัลแวร์ Subzero ให้กับบุคคลที่สามในขณะที่ดูเหมือนว่าจะมีส่วนร่วมโดยตรงในการโจมตีบางอย่างมากขึ้น เหยื่อผู้เคราะห์ร้าย ได้แก่ สำนักงานกฎหมาย หน่วยงานที่ปรึกษา และธนาคารที่ตั้งอยู่ในออสเตรีย สหราชอาณาจักร และปานามา

รายละเอียดมัลแวร์ Subzero

ภัยคุกคาม Subzero ถูกส่งไปยังเป้าหมายที่เลือกผ่านวิธีการติดไวรัสที่หลากหลาย ผู้โจมตีใช้ช่องโหว่ซีโร่เดย์ เช่น CVE-2022-22047 นอกจากนี้ มัลแวร์ยังถูกใช้งานผ่านไฟล์ Excel ที่มีอาวุธ โดยปลอมแปลงเป็นเอกสารด้านอสังหาริมทรัพย์ ไฟล์มีมาโครที่เสียหายซึ่งกระตุ้นการส่ง Subzero ไปยังอุปกรณ์ของเหยื่อ

เพื่อหลีกเลี่ยงการตรวจจับ เพย์โหลดหลักของภัยคุกคามจะอยู่ในหน่วยความจำเกือบทั้งหมด ความสามารถในการบุกรุกรวมถึงการคีย์ล็อก การจับภาพหน้าจอ การเปิดเชลล์ระยะไกลและการดำเนินการคำสั่ง การกรองไฟล์ และอื่นๆ นอกจากนี้ มัลแวร์ยังสามารถสั่งให้ดึงและเรียกใช้ปลั๊กอินเพิ่มเติมจากเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ของแคมเปญการโจมตีได้