Subzero Malware Employed by Private-Sector Threat Actor

Ερευνητές ασφαλείας του Κέντρου Πληροφοριών Απειλών της Microsoft δημοσίευσαν μια αναφορά για ένα κομμάτι κακόβουλου λογισμικού που αναπτύχθηκε από έναν παράγοντα απειλών του ιδιωτικού τομέα.

Το εν λόγω κακόβουλο λογισμικό ονομάζεται Subzero και η οντότητα που το χρησιμοποιεί αναφέρεται ως KNOTWEED, που πιστεύεται ότι λειτουργεί εκτός Αυστρίας. Το κακόβουλο λογισμικό Subzero χρησιμοποιήθηκε σε επιθέσεις χρησιμοποιώντας αρκετές ευπάθειες zero-day στα Windows και στο Adobe Reader.

Το κακόβουλο λογισμικό Subzero διανεμήθηκε κυρίως χρησιμοποιώντας τα προαναφερθέντα exploits, αλλά χρησιμοποίησε και άλλους φορείς επίθεσης. Οι στόχοι που υπέστησαν το Subzero εντοπίστηκαν στην Αυστρία, το Ηνωμένο Βασίλειο και τον Παναμά.

Το κακόβουλο λογισμικό Subzero φέρεται να έχει τη δυνατότητα να διαφεύγει από περιβάλλοντα sandbox μέσω ενός κακόβουλου DLL γραμμένου στο δίσκο μέσω της διαδικασίας Adobe, επιτρέποντας τελικά την "εκτέλεση κώδικα σε επίπεδο συστήματος".

Το κακόβουλο λογισμικό αναπτύχθηκε επίσης χρησιμοποιώντας ένα κακόβουλο αρχείο Excel, το οποίο είχε ντύσει ώστε να μοιάζει με έγγραφο ακίνητης περιουσίας. Σύμφωνα με τη Microsoft, η κακόβουλη μακροεντολή εντός του αρχείου Excel ήταν πολύ ασαφής χρησιμοποιώντας συμβολοσειρές κειμένου και συμβολοσειρές μακροεντολών Excel 4.0.

Το κακόβουλο λογισμικό Subzero εντοπίζεται και παρατίθεται ως "Jumplump" και "Corelump" στο Windows Defender, αντίστοιχα, αναφερόμενοι στον μόνιμο φορτωτή και στο κύριο ωφέλιμο φορτίο κακόβουλου λογισμικού.