Malware Subzero impiegato da un attore di minacce del settore privato

I ricercatori di sicurezza del Threat Intelligence Center di Microsoft hanno pubblicato un rapporto su un malware sviluppato da un attore di minacce del settore privato.

Il malware in questione si chiama Subzero e l'entità che lo utilizza è denominata KNTWEED, che si ritiene operi al di fuori dell'Austria. Il malware Subzero è stato utilizzato in attacchi che utilizzano diverse vulnerabilità zero-day in Windows e Adobe Reader.

Il malware Subzero è stato distribuito principalmente utilizzando gli exploit sopra menzionati, ma ha utilizzato anche altri vettori di attacco. Gli obiettivi che hanno subito Subzero si trovavano in Austria, Regno Unito e Panama.

Secondo quanto riferito, il malware Subzero ha la capacità di sfuggire agli ambienti sandbox attraverso una DLL dannosa scritta su disco tramite il processo Adobe, consentendo infine "l'esecuzione di codice a livello di sistema".

Il malware è stato anche distribuito utilizzando un file Excel dannoso, vestito in modo da sembrare un documento immobiliare. Secondo Microsoft, la macro dannosa all'interno del file Excel è stata pesantemente offuscata utilizzando stringhe di testo e stringhe di macro di Excel 4.0.

Il malware Subzero viene rilevato ed elencato come "Jumlump" e "Corelump" all'interno di Windows Defender, rispettivamente in riferimento al caricatore persistente e al payload del malware principale.

August 3, 2022