Subzero Malware

Subzero Malware

Bir Özel Sektör Saldırgan Aktörünün (PSOA), Subzero olarak izlenen dahili olarak geliştirilmiş bir kötü amaçlı yazılımla kurbanlara bulaştırmak için birden fazla WIndows ve Adobe sıfırıncı gün güvenlik açığı kullandığı gözlemlendi. Tehdit aktörü ve Subzero kötü amaçlı yazılımıyla ilgili ayrıntılar, Microsoft Tehdit İstihbarat Merkezi (MSTIC) tarafından hazırlanan bir raporda yayınlandı. Araştırmacılar bu özel PSOA'yı KNOTWEED olarak takip ediyor ve bunun DSIRF adlı Avusturya merkezli bir tehdit aktörü olduğuna inanıyor.

KNOTWEED'in iki farklı modelin bir kombinasyonunu sağlaması muhtemeldir - bir hizmet olarak erişim ve kiralık bilgisayar korsanlığı, çünkü grup hem Subzero kötü amaçlı yazılımını üçüncü taraflara satar hem de belirli saldırılara daha doğrudan katılımı var gibi görünür. Kurbanlar arasında Avusturya, Birleşik Krallık ve Panama'da bulunan hukuk firmaları, danışmanlık ajansları ve bankalar yer alıyor.

Subzero Kötü Amaçlı Yazılım Ayrıntıları

Subzero tehdidi, çeşitli enfeksiyon yöntemleriyle seçilen hedeflere iletilir. Saldırganlar, CVE-2022-22047 gibi sıfırıncı gün açıklarını kötüye kullandı. Ek olarak, kötü amaçlı yazılım, bir emlak belgesiymiş gibi davranarak silah haline getirilmiş bir Excel dosyası aracılığıyla dağıtıldı. Dosya, Subzero'nun kurbanın cihazına teslim edilmesini tetikleyen bozuk bir makro içeriyordu.

Tespitten kaçınmak için, tehdidin ana yükü neredeyse tamamen bellekte bulunur. İstilacı yetenekleri arasında tuş kaydetme, ekran görüntüleri yakalama, uzak bir kabuk açma ve komutları yürütme, dosya sızdırma ve daha fazlası yer alır. Ek olarak, kötü amaçlı yazılıma, saldırı kampanyasının Komuta ve Kontrol (C2, C&C) sunucusundan ek eklentiler getirmesi ve çalıştırması talimatı verilebilir.

Trending

Loading...