民間部門の攻撃者が使用するサブゼロ マルウェア
Microsoft の Threat Intelligence Center のセキュリティ研究者は、民間部門の攻撃者によって開発されたマルウェアに関するレポートをリリースしました。
問題のマルウェアは Subzero と呼ばれ、それを使用しているエンティティは KNOTWEED と呼ばれ、オーストリアで活動していると考えられています。 Subzero マルウェアは、Windows と Adobe Reader のいくつかのゼロデイ脆弱性を利用した攻撃で使用されました。
Subzero マルウェアは、主に上記のエクスプロイトを使用して配布されましたが、他の攻撃ベクトルも使用していました。サブゼロを被ったターゲットは、オーストリア、イギリス、パナマにありました。
Subzero マルウェアは、Adobe プロセスを介してディスクに書き込まれた悪意のある DLL を介してサンドボックス環境を回避し、最終的に「システムレベルのコード実行」を可能にする能力を持っていると報告されています。
このマルウェアはまた、不動産文書のように見せかけた悪意のある Excel ファイルを使用して展開されました。 Microsoft によると、Excel ファイル内の悪意のあるマクロは、テキスト文字列と Excel 4.0 マクロ文字列を使用して大幅に難読化されていました。
Subzero マルウェアが検出され、Windows Defender 内で "Jumplump" および "Corelump" として一覧表示されます。それぞれ、永続的なローダーとメインのマルウェア ペイロードを指します。