A magánszektorbeli fenyegetések szereplője által alkalmazott, nulla alatti kártevő

A Microsoft Threat Intelligence Center biztonsági kutatói jelentést tettek közzé egy olyan rosszindulatú programról, amelyet egy magánszektorbeli fenyegetést okozó szereplő fejlesztett ki.

A szóban forgó kártevőt Subzero-nak hívják, az azt használó entitást pedig KNOTWEED-nek nevezik, amely vélhetően Ausztrián kívül működik. A Subzero kártevőt a Windows és az Adobe Reader számos nulladik napi sebezhetőségét használó támadásokhoz használták.

A Subzero kártevőt elsősorban a fent említett exploitokkal terjesztették, de más támadási vektorokat is használtak. A Subzero-ban szenvedő célpontok Ausztriában, az Egyesült Királyságban és Panamában voltak.

A Subzero kártevő állítólag képes kiszökni a sandbox környezetből egy rosszindulatú DLL-n keresztül, amelyet az Adobe folyamatán keresztül írnak a lemezre, ami végül lehetővé teszi a "rendszerszintű kódfuttatást".

A rosszindulatú programot egy rosszindulatú Excel-fájl segítségével is telepítették, és ingatlandokumentumnak nézték ki. A Microsoft szerint az Excel-fájlban lévő rosszindulatú makrót szöveges karakterláncok és Excel 4.0 makrókarakterláncok segítségével erősen elfedték.

A Subzero rosszindulatú program észlelhető, és a Windows Defenderben „Jumplump” és „Corelump” néven szerepel, a perzisztens betöltőre és a fő rosszindulatú programra utalva.

August 3, 2022