私營部門威脅行為者使用的零度以下惡意軟件

微軟威脅情報中心的安全研究人員發布了一份關於由私營部門威脅參與者開發的惡意軟件的報告。

有問題的惡意軟件被稱為 Subzero,使用它的實體被稱為 KNOTWEED,據信在奧地利境外運營。 Subzero 惡意軟件被用於利用 Windows 和 Adobe Reader 中的多個零日漏洞進行的攻擊。

Subzero 惡意軟件主要使用上述漏洞進行分發,但也使用其他攻擊媒介。遭受 Subzero 的目標位於奧地利、英國和巴拿馬。

據報導,Subzero 惡意軟件能夠通過 Adobe 進程寫入磁盤的惡意 DLL 逃離沙盒環境,最終允許“系統級代碼執行”。

該惡意軟件還使用惡意 Excel 文件進行部署,偽裝成房地產文件。據微軟稱,Excel 文件中的惡意宏使用文本字符串和 Excel 4.0 宏字符串進行了嚴重混淆。

Subzero 惡意軟件在 Windows Defender 中被檢測到並列為“Jumplump”和“Corelump”,分別指的是持久加載程序和主要惡意軟件有效負載。

August 3, 2022