Subzero Malware

Un acteur offensif du secteur privé (PSOA) a été observé en utilisant plusieurs vulnérabilités Windows et Adobe zero-day pour infecter les victimes avec un malware développé en interne suivi sous le nom de Subzero. Des détails sur l'acteur de la menace et le malware Subzero ont été publiés dans un rapport du Microsoft Threat Intelligence Center (MSTIC). Les chercheurs suivent ce PSOA particulier sous le nom de KNOTWEED et pensent qu'il s'agit d'un acteur menaçant basé en Autriche nommé DSIRF.

KNOTWEED est susceptible de fournir une combinaison de deux modèles différents - l'accès en tant que service et le piratage à la location, car le groupe vend à la fois son logiciel malveillant Subzero à des tiers tout en semblant être plus directement impliqué dans certaines attaques. Les victimes comprennent des cabinets d'avocats, des agences de conseil et des banques situées en Autriche, au Royaume-Uni et au Panama.

Détails sur les logiciels malveillants Subzero

La menace Subzero est transmise aux cibles choisies par le biais de diverses méthodes d'infection. Les attaquants ont abusé des exploits zero-day, tels que CVE-2022-22047. De plus, le logiciel malveillant a été déployé via un fichier Excel militarisé, prétendant être un document immobilier. Le fichier contenait une macro corrompue qui déclenche la livraison de Subzero à l'appareil de la victime.

Pour éviter la détection, la charge utile principale de la menace réside presque entièrement dans la mémoire. Ses capacités invasives incluent l'enregistrement des frappes, la capture de captures d'écran, l'ouverture d'un shell distant et l'exécution de commandes, l'exfiltration de fichiers, etc. De plus, le logiciel malveillant peut être chargé de récupérer et d'exécuter des plug-ins supplémentaires à partir du serveur Command-and-Control (C2, C&C) de la campagne de l'attaque.