Phần mềm độc hại Subzero

Phần mềm độc hại Subzero Mô tả

Một kẻ tấn công khu vực tư nhân (PSOA) đã được quan sát thấy sử dụng nhiều lỗ hổng WIndows và Adobe zero-day để lây nhiễm cho nạn nhân bằng một phần mềm độc hại được phát triển nội bộ được theo dõi là Subzero. Thông tin chi tiết về tác nhân gây ra mối đe dọa và phần mềm độc hại Subzero đã được công bố trong một báo cáo của Microsoft Threat Intelligence Center (MSTIC). Các nhà nghiên cứu theo dõi PSOA đặc biệt này là KNOTWEED và tin rằng nó là một kẻ đe dọa có trụ sở tại Áo tên là DSIRF.

KNOTWEED có khả năng cung cấp sự kết hợp của hai mô hình khác nhau - truy cập như một dịch vụ và hack-cho thuê, vì cả hai đều bán phần mềm độc hại Subzero của mình cho các bên thứ ba đồng thời dường như có liên quan trực tiếp hơn đến các cuộc tấn công nhất định. Nạn nhân bao gồm các công ty luật, cơ quan tư vấn và ngân hàng đặt tại Áo, Vương quốc Anh và Panama.

Chi tiết về phần mềm độc hại Subzero

Mối đe dọa Subzero được chuyển đến các mục tiêu đã chọn thông qua nhiều phương pháp lây nhiễm. Những kẻ tấn công đã lạm dụng khai thác zero-day, chẳng hạn như CVE-2022-22047. Ngoài ra, phần mềm độc hại đã được triển khai thông qua một tệp Excel được vũ khí hóa, giả vờ là một tài liệu bất động sản. Tệp chứa macro bị hỏng kích hoạt việc phân phối Subzero đến thiết bị của nạn nhân.

Để tránh bị phát hiện, khối lượng chính của mối đe dọa nằm trong bộ nhớ gần như hoàn toàn. Các khả năng xâm lấn của nó bao gồm keylogging, chụp ảnh màn hình, mở shell từ xa và thực hiện các lệnh, lọc tệp và hơn thế nữa. Ngoài ra, phần mềm độc hại có thể được hướng dẫn tìm nạp và chạy các plugin bổ sung từ máy chủ Command-and-Control (C2, C&C) của chiến dịch tấn công.