Subzero Malware ansat af den private sektors trusselaktør

Sikkerhedsforskere med Microsofts Threat Intelligence Center udgav en rapport om et stykke malware udviklet af en trusselsaktør i den private sektor.

Den pågældende malware kaldes Subzero, og den enhed, der bruger den, omtales som KNOTWEED, der menes at operere fra Østrig. Subzero-malwaren blev brugt i angreb ved hjælp af adskillige zero-day-sårbarheder i Windows og Adobe Reader.

Subzero-malwaren blev primært distribueret ved hjælp af ovennævnte udnyttelser, men brugte også andre angrebsvektorer. De mål, der blev ramt af Subzero, var placeret i Østrig, Storbritannien og Panama.

Subzero-malwaren har angiveligt evnen til at undslippe sandkassemiljøer gennem en ondsindet DLL skrevet til disk gennem Adobe-processen, hvilket til sidst muliggør "udførelse af kode på systemniveau".

Malwaren blev også implementeret ved hjælp af en ondsindet Excel-fil, klædt ud til at ligne et ejendomsdokument. Ifølge Microsoft blev den ondsindede makro inde i Excel-filen stærkt sløret ved hjælp af tekststrenge og Excel 4.0-makrostrenge.

Subzero-malwaren detekteres og er angivet som "Jumplump" og "Corelump" inde i Windows Defender, henholdsvis med henvisning til den vedvarende loader og den vigtigste malware-nyttelast.

August 3, 2022