Вредоносное ПО Subzero, используемое злоумышленником из частного сектора

Исследователи безопасности из Microsoft Threat Intelligence Center опубликовали отчет о вредоносном ПО, разработанном частным злоумышленником.

Рассматриваемое вредоносное ПО называется Subzero, а организация, использующая его, называется KNOTWEED и, как полагают, действует из Австрии. Вредоносная программа Subzero использовалась в атаках с использованием нескольких уязвимостей нулевого дня в Windows и Adobe Reader.

Вредоносная программа Subzero в основном распространялась с использованием вышеупомянутых эксплойтов, но также использовала и другие векторы атак. Цели, пострадавшие от Subzero, находились в Австрии, Великобритании и Панаме.

Сообщается, что вредоносное ПО Subzero может выходить из среды песочницы через вредоносную DLL, записанную на диск через процесс Adobe, что в конечном итоге позволяет «выполнение кода на системном уровне».

Вредоносная программа также была развернута с использованием вредоносного файла Excel, оформленного так, чтобы он выглядел как документ о недвижимости. По данным Microsoft, вредоносный макрос внутри файла Excel был сильно запутан с помощью текстовых строк и строк макросов Excel 4.0.

Вредоносная программа Subzero обнаруживается и отображается как «Jumplump» и «Corelump» в Защитнике Windows, соответственно ссылаясь на постоянный загрузчик и основную полезную нагрузку вредоносного ПО.