民間部門の攻撃者が使用するサブゼロ マルウェア

Microsoft の Threat Intelligence Center のセキュリティ研究者は、民間部門の攻撃者によって開発されたマルウェアに関するレポートをリリースしました。

問題のマルウェアは Subzero と呼ばれ、それを使用しているエンティティは KNOTWEED と呼ばれ、オーストリアで活動していると考えられています。 Subzero マルウェアは、Windows と Adobe Reader のいくつかのゼロデイ脆弱性を利用した攻撃で使用されました。

Subzero マルウェアは、主に上記のエクスプロイトを使用して配布されましたが、他の攻撃ベクトルも使用していました。サブゼロを被ったターゲットは、オーストリア、イギリス、パナマにありました。

Subzero マルウェアは、Adobe プロセスを介してディスクに書き込まれた悪意のある DLL を介してサンドボックス環境を回避し、最終的に「システムレベルのコード実行」を可能にする能力を持っていると報告されています。

このマルウェアはまた、不動産文書のように見せかけた悪意のある Excel ファイルを使用して展開されました。 Microsoft によると、Excel ファイル内の悪意のあるマクロは、テキスト文字列と Excel 4.0 マクロ文字列を使用して大幅に難読化されていました。

Subzero マルウェアが検出され、Windows Defender 内で "Jumplump" および "Corelump" として一覧表示されます。それぞれ、永続的なローダーとメインのマルウェア ペイロードを指します。

August 3, 2022