Subzero Malware ansatt av den private sektorens trusselaktør

Sikkerhetsforskere med Microsofts Threat Intelligence Center ga ut en rapport om et stykke skadelig programvare utviklet av en trusselaktør i privat sektor.

Den aktuelle skadevare kalles Subzero, og enheten som bruker den, blir referert til som KNOTWEED, antas å operere utenfor Østerrike. Subzero malware ble brukt i angrep med flere nulldagssårbarheter i Windows og Adobe Reader.

Subzero malware ble primært distribuert ved hjelp av de ovennevnte utnyttelsene, men brukte også andre angrepsvektorer. Målene som ble rammet av Subzero var lokalisert i Østerrike, Storbritannia og Panama.

Subzero malware har angivelig evnen til å unnslippe sandkassemiljøer gjennom en ondsinnet DLL skrevet til disk gjennom Adobe-prosessen, noe som til slutt muliggjør "utførelse av kode på systemnivå".

Skadevaren ble også distribuert ved hjelp av en ondsinnet Excel-fil, kledd opp for å se ut som et eiendomsdokument. Ifølge Microsoft ble den ondsinnede makroen inne i Excel-filen kraftig tilslørt ved bruk av tekststrenger og Excel 4.0-makrostrenger.

Subzero malware oppdages og er oppført som "Jumplump" og "Corelump" inne i Windows Defender, og refererer til henholdsvis den vedvarende lasteren og hovednyttelasten for skadelig programvare.

August 3, 2022