Threat Database Malware Subzero Malware

Subzero Malware

एक निजी क्षेत्र के आक्रामक अभिनेता (पीएसओए) को कई विंडोज़ और एडोब जीरो-डे कमजोरियों का उपयोग करते हुए देखा गया है ताकि पीड़ितों को आंतरिक रूप से विकसित मैलवेयर के साथ सबजेरो के रूप में ट्रैक किया जा सके। Microsoft थ्रेट इंटेलिजेंस सेंटर (MSTIC) की एक रिपोर्ट में थ्रेट एक्टर और Subzero मैलवेयर के बारे में विवरण जारी किया गया था। शोधकर्ता इस विशेष PSOA को KNOTWEED के रूप में ट्रैक करते हैं और मानते हैं कि यह DSIRF नाम का ऑस्ट्रिया-आधारित धमकी देने वाला अभिनेता है।

KNOTWEED दो अलग-अलग मॉडलों का एक संयोजन प्रदान करने की संभावना है - एक्सेस-ए-ए-सर्विस और हैक-फॉर-हायर, क्योंकि समूह दोनों अपने सबजेरो मैलवेयर को तीसरे पक्ष को बेचता है, जबकि कुछ हमलों में अधिक प्रत्यक्ष भागीदारी भी दिखाई देता है। पीड़ितों में ऑस्ट्रिया, यूके और पनामा में स्थित कानून फर्म, परामर्श एजेंसियां और बैंक शामिल हैं।

Subzero Malware विवरण

विभिन्न संक्रमण विधियों के माध्यम से चुने हुए लक्ष्यों तक सबजीरो खतरा पहुंचाया जाता है। हमलावरों ने शून्य-दिन के कारनामों का दुरुपयोग किया, जैसे कि CVE-2022-22047। इसके अलावा, मैलवेयर को एक हथियारयुक्त एक्सेल फ़ाइल के माध्यम से तैनात किया गया था, जो एक रियल एस्टेट दस्तावेज़ होने का नाटक कर रहा था। फ़ाइल में एक दूषित मैक्रो है जो पीड़ित के डिवाइस पर Subzero की डिलीवरी को ट्रिगर करता है।

पता लगाने से बचने के लिए, खतरे का मुख्य पेलोड लगभग पूरी तरह से स्मृति में रहता है। इसकी आक्रामक क्षमताओं में कीलॉगिंग, स्क्रीनशॉट कैप्चर करना, रिमोट शेल खोलना और कमांड निष्पादित करना, फ़ाइल एक्सफ़िल्टरेशन और बहुत कुछ शामिल हैं। इसके अलावा, मैलवेयर को हमले के अभियान के कमांड-एंड-कंट्रोल (C2, C&C) सर्वर से अतिरिक्त प्लगइन्स लाने और चलाने का निर्देश दिया जा सकता है।

लोड हो रहा है...