Subzero-Malware, die von Bedrohungsakteuren aus dem privaten Sektor eingesetzt wird

Sicherheitsforscher des Threat Intelligence Center von Microsoft haben einen Bericht über eine Malware veröffentlicht, die von einem privaten Bedrohungsakteur entwickelt wurde.

Die fragliche Malware heißt Subzero und das Unternehmen, das sie verwendet, wird als KNOTWEED bezeichnet, von dem angenommen wird, dass es von Österreich aus operiert. Die Subzero-Malware wurde bei Angriffen verwendet, bei denen mehrere Zero-Day-Schwachstellen in Windows und Adobe Reader ausgenutzt wurden.

Die Subzero-Malware wurde hauptsächlich über die oben genannten Exploits verbreitet, nutzte aber auch andere Angriffsvektoren. Die unter Null stehenden Ziele befanden sich in Österreich, Großbritannien und Panama.

Die Subzero-Malware hat Berichten zufolge die Fähigkeit, Sandbox-Umgebungen durch eine bösartige DLL zu entkommen, die durch den Adobe-Prozess auf die Festplatte geschrieben wird, was schließlich eine „Codeausführung auf Systemebene“ ermöglicht.

Die Malware wurde auch mithilfe einer bösartigen Excel-Datei bereitgestellt, die so gekleidet war, dass sie wie ein Immobiliendokument aussah. Laut Microsoft wurde das bösartige Makro in der Excel-Datei mit Textzeichenfolgen und Excel 4.0-Makrozeichenfolgen stark verschleiert.

Die Subzero-Malware wird erkannt und in Windows Defender als „Jumplump“ und „Corelump“ aufgeführt, was sich jeweils auf den persistenten Loader und die Haupt-Malware-Payload bezieht.