Subzero-Malware

Ein Private-Sector Offensive Actor (PSOA) wurde beobachtet, wie er mehrere Zero-Day-Schwachstellen von Windows und Adobe nutzte, um Opfer mit einer intern entwickelten Malware zu infizieren, die als Subzero verfolgt wurde. Details zum Bedrohungsakteur und der Subzero-Malware wurden in einem Bericht des Microsoft Threat Intelligence Center (MSTIC) veröffentlicht. Die Forscher verfolgen dieses spezielle PSOA als Knöterich und glauben, dass es sich um einen in Österreich ansässigen Bedrohungsakteur namens DSIRF handelt.

KNOTWEED wird wahrscheinlich eine Kombination aus zwei verschiedenen Modellen anbieten – Access-as-a-Service und Hack-for-Hire, da die Gruppe beide ihre Subzero-Malware an Dritte verkauft und gleichzeitig anscheinend direkter an bestimmten Angriffen beteiligt ist. Zu den Opfern gehören Anwaltskanzleien, Beratungsagenturen und Banken in Österreich, Großbritannien und Panama.

Subzero-Malware-Details

Die Subzero-Bedrohung wird den ausgewählten Zielen durch eine Vielzahl von Infektionsmethoden übermittelt. Angreifer missbrauchten Zero-Day-Exploits wie CVE-2022-22047. Darüber hinaus wurde die Malware über eine bewaffnete Excel-Datei bereitgestellt, die vorgab, ein Immobiliendokument zu sein. Die Datei enthielt ein beschädigtes Makro, das die Übermittlung von Subzero an das Gerät des Opfers auslöst.

Um eine Erkennung zu vermeiden, befindet sich die Hauptnutzlast der Bedrohung fast vollständig im Arbeitsspeicher. Zu seinen invasiven Fähigkeiten gehören Keylogging, das Erfassen von Screenshots, das Öffnen einer Remote-Shell und das Ausführen von Befehlen, Datei-Exfiltration und mehr. Darüber hinaus kann die Malware angewiesen werden, zusätzliche Plugins vom Command-and-Control-Server (C2, C&C) der Angriffskampagne abzurufen und auszuführen.