Subzero-malware gebruikt door bedreigingsacteur uit de particuliere sector

Beveiligingsonderzoekers van het Threat Intelligence Center van Microsoft hebben een rapport uitgebracht over een stukje malware dat is ontwikkeld door een bedreigingsacteur uit de particuliere sector.

De malware in kwestie heet Subzero en de entiteit die deze gebruikt, wordt KNOTWEED genoemd, vermoedelijk vanuit Oostenrijk. De Subzero-malware werd gebruikt bij aanvallen met verschillende zero-day-kwetsbaarheden in Windows en Adobe Reader.

De Subzero-malware werd voornamelijk verspreid met behulp van de bovengenoemde exploits, maar gebruikte ook andere aanvalsvectoren. De doelen die Subzero leden, bevonden zich in Oostenrijk, het Verenigd Koninkrijk en Panama.

De Subzero-malware heeft naar verluidt de mogelijkheid om te ontsnappen aan sandbox-omgevingen via een kwaadaardige DLL die via het Adobe-proces naar schijf is geschreven, waardoor uiteindelijk "code-uitvoering op systeemniveau" mogelijk wordt.

De malware werd ook ingezet met behulp van een kwaadaardig Excel-bestand, verkleed om eruit te zien als een onroerendgoeddocument. Volgens Microsoft was de kwaadaardige macro in het Excel-bestand zwaar versluierd met tekststrings en Excel 4.0-macrostrings.

De Subzero-malware wordt gedetecteerd en vermeld als "Jumplump" en "Corelump" in Windows Defender, respectievelijk verwijzend naar de persistente lader en de belangrijkste malware-payload.

August 3, 2022