Subzero Malware

Private-Sector Offensive Actor (PSOA) が、複数の Windows および Adobe のゼロデイ脆弱性を使用して、Subzero として追跡されている社内で開発されたマルウェアを被害者に感染させていることが確認されています。攻撃者と Subzero マルウェアに関する詳細は、Microsoft Threat Intelligence Center (MSTIC) のレポートで公開されました。研究者は、この特定の PSOA を KNOTWEED として追跡しており、オーストリアを拠点とする DSIRF という名前の攻撃者であると考えています。

KNOTWEED は 2 つの異なるモデル (サービスとしてのアクセスとハック・フォー・ハイヤー) の組み合わせを提供する可能性が高く、このグループはどちらも Subzero マルウェアをサードパーティに販売していると同時に、特定の攻撃により直接関与しているように見えます。被害者には、オーストリア、英国、パナマにある法律事務所、コンサルタント会社、銀行が含まれます。

Subzero マルウェアの詳細

Subzero の脅威は、さまざまな感染方法を通じて、選択したターゲットに配信されます。攻撃者は、CVE-2022-22047 などのゼロデイ エクスプロイトを悪用しました。さらに、このマルウェアは、武器化された Excel ファイルを介して展開され、不動産文書を装っていました。このファイルには、被害者のデバイスへの Subzero の配信をトリガーする破損したマクロが含まれていました。

検出を回避するために、脅威の主要なペイロードはほぼ完全にメモリに存在します。その侵襲的な機能には、キーロギング、スクリーンショットのキャプチャ、リモート シェルを開いてコマンドを実行すること、ファイルの抽出などが含まれます。さらに、攻撃キャンペーンのコマンド アンド コントロール (C2、C&C) サーバーから追加のプラグインを取得して実行するようにマルウェアに指示することもできます。