Subzero Malware
已观察到私营部门攻击者 (PSOA) 使用多个 WINdows 和 Adobe 零日漏洞来感染受害者,其内部开发的恶意软件被跟踪为 Subzero。微软威胁情报中心 (MSTIC) 在一份报告中公布了有关威胁参与者和 Subzero 恶意软件的详细信息。研究人员将这个特殊的 PSOA 追踪为 KNOTWEED,并认为它是一个名为 DSIRF 的奥地利威胁参与者。
KNOTWEED 可能会提供两种不同模式的组合——访问即服务和黑客出租,因为该组织既向第三方出售其 Subzero 恶意软件,同时似乎也更直接地参与了某些攻击。受害者包括位于奥地利、英国和巴拿马的律师事务所、咨询机构和银行。
零度以下恶意软件详细信息
Subzero 威胁通过各种感染方法传递给选定的目标。攻击者滥用零日漏洞,例如 CVE-2022-22047。此外,恶意软件是通过武器化的 Excel 文件部署的,伪装成房地产文件。该文件包含一个损坏的宏,该宏会触发将 Subzero 传送到受害者的设备。
为了避免被发现,威胁的主要有效载荷几乎完全驻留在内存中。它的侵入性功能包括键盘记录、捕获屏幕截图、打开远程 shell 和执行命令、文件泄露等等。此外,可以指示恶意软件从攻击活动的命令和控制(C2、C&C)服务器获取并运行其他插件。
