Subzero Malware

Subzero Malware Опис

Було помічено, що нападник із приватного сектора (PSOA) використовує численні вразливості нульового дня WIndows і Adobe для зараження жертв внутрішньо розробленим шкідливим програмним забезпеченням, яке відстежується як Subzero. Подробиці про загрозу та зловмисне програмне забезпечення Subzero були оприлюднені у звіті Microsoft Threat Intelligence Center (MSTIC). Дослідники вважають цей конкретний PSOA KNOTWEED і вважають, що це австрійський загрозливий актор на ім’я DSIRF.

KNOTWEED, ймовірно, запропонує поєднання двох різних моделей — доступ як послуга та хакерство за наймом, оскільки обидві групи продають своє зловмисне програмне забезпечення Subzero третім сторонам, а також мають більш безпосередню участь у певних атаках. Серед жертв – юридичні фірми, консалтингові агентства та банки, розташовані в Австрії, Великобританії та Панамі.

Деталі зловмисного програмного забезпечення Subzero

Загроза Subzero доставляється до вибраних цілей різними методами зараження. Зловмисники зловживали експлойтами нульового дня, такими як CVE-2022-22047. Крім того, зловмисне програмне забезпечення було розгорнуто через збройовий файл Excel, який видавав себе за документ про нерухомість. Файл містив пошкоджений макрос, який запускає доставку Subzero на пристрій жертви.

Щоб уникнути виявлення, основне корисне навантаження загрози майже повністю зберігається в пам’яті. Його інвазивні можливості включають клавіатурний журнал, створення знімків екрана, відкриття віддаленої оболонки та виконання команд, викрадання файлів тощо. Крім того, зловмисне програмне забезпечення може отримати інструкцію отримати та запустити додаткові плагіни з сервера командування та керування (C2, C&C) кампанії атаки.