Subzero kenkėjiškų programų, kurias naudoja privataus sektoriaus grėsmių veikėjas

„Microsoft“ grėsmių žvalgybos centro saugumo tyrėjai paskelbė ataskaitą apie kenkėjišką programą, kurią sukūrė privataus sektoriaus grėsmių veikėjas.

Aptariama kenkėjiška programa vadinama Subzero, o ją naudojanti įmonė vadinama KNOTWEED, kuri, kaip manoma, veikia Austrijoje. „Subzero“ kenkėjiška programa buvo naudojama atakoms, naudojant keletą nulinės dienos „Windows“ ir „Adobe Reader“ pažeidžiamumų.

„Subzero“ kenkėjiška programa pirmiausia buvo platinama naudojant pirmiau minėtus išnaudojimus, tačiau taip pat buvo naudojami kiti atakų vektoriai. Subzero nukentėję taikiniai buvo Austrijoje, Jungtinėje Karalystėje ir Panamoje.

Pranešama, kad „Subzero“ kenkėjiška programa turi galimybę pabėgti iš smėlio dėžės aplinkos per kenkėjišką DLL, įrašytą į diską per „Adobe“ procesą, ir galiausiai leidžia „vykdyti kodą sistemos lygiu“.

Kenkėjiška programa taip pat buvo įdiegta naudojant kenkėjišką „Excel“ failą, aprengtą taip, kad atrodytų kaip nekilnojamojo turto dokumentas. „Microsoft“ teigimu, „Excel“ faile esanti kenkėjiška makrokomanda buvo labai užtemdyta naudojant teksto eilutes ir „Excel 4.0“ makrokomandos eilutes.

„Subzero“ kenkėjiška programa aptinkama ir „Windows Defender“ įtraukiama kaip „Jumplump“ ir „Corelump“, atitinkamai nurodant nuolatinį įkėliklį ir pagrindinį kenkėjiškų programų naudingumą.

August 3, 2022