Subzero Malware

Subzero Malware Paglalarawan

Isang Private-Sector Offensive Actor (PSOA) ang naobserbahan gamit ang maraming WIndows at Adobe zero-day na kahinaan upang mahawahan ang mga biktima ng isang internally-developed na malware na sinusubaybayan bilang Subzero. Ang mga detalye tungkol sa threat actor at ang Subzero malware ay inilabas sa isang ulat ng Microsoft Threat Intelligence Center (MSTIC). Sinusubaybayan ng mga mananaliksik ang partikular na PSOA na ito bilang KNOTWEED at naniniwalang isa itong Austria-based threat actor na pinangalanang DSIRF.

Ang KNOTWEED ay malamang na magbigay ng kumbinasyon ng dalawang magkaibang modelo - access-as-a-service at hack-for-hire, dahil parehong ibinebenta ng grupo ang Subzero malware nito sa mga third party habang lumalabas din na may higit na direktang pagkakasangkot sa ilang partikular na pag-atake. Kabilang sa mga biktima ang mga law firm, consultancy agencies, at mga bangko na matatagpuan sa Austria, UK at Panama.

Mga Detalye ng Subzero Malware

Ang pagbabanta ng Subzero ay inihahatid sa mga napiling target sa pamamagitan ng iba't ibang paraan ng impeksyon. Inabuso ng mga umaatake ang zero-day exploits, gaya ng CVE-2022-22047. Bilang karagdagan, ang malware ay na-deploy sa pamamagitan ng isang weaponized na Excel file, na nagpapanggap na isang dokumento ng real estate. Naglalaman ang file ng sirang macro na nagti-trigger sa paghahatid ng Subzero sa device ng biktima.

Upang maiwasan ang pagtuklas, ang pangunahing kargamento ng banta ay nasa memorya ng halos lahat. Kasama sa mga invasive na kakayahan nito ang keylogging, pagkuha ng mga screenshot, pagbubukas ng remote na shell at pagsasagawa ng mga command, file exfiltration at higit pa. Bilang karagdagan, ang malware ay maaaring turuan na kumuha at magpatakbo ng mga karagdagang plugin mula sa Command-and-Control (C2, C&C) server ng kampanya ng pag-atake.