Subzero Malware anställd av den privata sektorns hotaktör

Säkerhetsforskare med Microsofts Threat Intelligence Center släppte en rapport om ett stycke skadlig programvara som utvecklats av en hotaktör från den privata sektorn.

Den skadliga programvaran i fråga kallas Subzero och enheten som använder den kallas KNOTWEED, som tros vara verksam från Österrike. Skadlig programvara Subzero användes i attacker med flera nolldagssårbarheter i Windows och Adobe Reader.

Skadlig programvara Subzero distribuerades i första hand med de ovan nämnda utnyttjandena men använde även andra attackvektorer. Målen som drabbades av Subzero fanns i Österrike, Storbritannien och Panama.

Skadlig programvara från Subzero har enligt uppgift förmågan att fly från sandlådemiljöer genom en skadlig DLL som skrivits till disken genom Adobe-processen, vilket så småningom möjliggör "körning av kod på systemnivå".

Skadlig programvara distribuerades också med hjälp av en skadlig Excel-fil, klädd för att se ut som ett fastighetsdokument. Enligt Microsoft var det skadliga makrot inuti Excel-filen kraftigt fördunklat med hjälp av textsträngar och Excel 4.0-makrosträngar.

Subzero skadlig programvara upptäcks och listas som "Jumplump" och "Corelump" i Windows Defender, respektive hänvisar till den ihållande laddaren och den huvudsakliga skadliga nyttolasten.

August 3, 2022