私营部门威胁行为者使用的零度以下恶意软件

微软威胁情报中心的安全研究人员发布了一份关于由私营部门威胁参与者开发的恶意软件的报告。

有问题的恶意软件被称为 Subzero,使用它的实体被称为 KNOTWEED,据信在奥地利境外运营。 Subzero 恶意软件被用于利用 Windows 和 Adobe Reader 中的多个零日漏洞进行的攻击。

Subzero 恶意软件主要使用上述漏洞进行分发,但也使用其他攻击媒介。遭受 Subzero 的目标位于奥地利、英国和巴拿马。

据报道,Subzero 恶意软件能够通过 Adobe 进程写入磁盘的恶意 DLL 逃离沙盒环境,最终允许“系统级代码执行”。

该恶意软件还使用恶意 Excel 文件进行部署,伪装成房地产文件。据微软称,Excel 文件中的恶意宏使用文本字符串和 Excel 4.0 宏字符串进行了严重混淆。

Subzero 恶意软件在 Windows Defender 中被检测到并列为“Jumplump”和“Corelump”,分别指的是持久加载程序和主要恶意软件有效负载。

August 3, 2022