Subzero Malware
已觀察到私營部門攻擊者 (PSOA) 使用多個 WINdows 和 Adobe 零日漏洞來感染受害者,其內部開發的惡意軟件被跟踪為 Subzero。 Microsoft 威脅情報中心 (MSTIC) 在一份報告中發布了有關威脅參與者和 Subzero 惡意軟件的詳細信息。研究人員將這種特殊的 PSOA 追踪為 KNOTWEED,並認為它是一個名為 DSIRF 的奧地利威脅參與者。
KNOTWEED 可能會提供兩種不同模式的組合——訪問即服務和黑客出租,因為該組織既向第三方出售其 Subzero 惡意軟件,同時似乎也更直接地參與了某些攻擊。受害者包括位於奧地利、英國和巴拿馬的律師事務所、諮詢機構和銀行。
零度以下惡意軟件詳細信息
Subzero 威脅通過各種感染方法傳遞給選定的目標。攻擊者濫用零日漏洞,例如 CVE-2022-22047。此外,該惡意軟件是通過一個武器化的 Excel 文件部署的,偽裝成一個房地產文件。該文件包含一個損壞的宏,該宏會觸發將 Subzero 傳送到受害者的設備。
為了避免被發現,威脅的主要有效載荷幾乎完全駐留在內存中。它的侵入性功能包括鍵盤記錄、捕獲屏幕截圖、打開遠程 shell 和執行命令、文件洩露等等。此外,可以指示惡意軟件從攻擊活動的命令和控制(C2、C&C)服務器獲取並運行其他插件。
