Subzero Malware

Subzero Malware विवरण

एक निजी क्षेत्र के आक्रामक अभिनेता (पीएसओए) को कई विंडोज़ और एडोब जीरो-डे कमजोरियों का उपयोग करते हुए देखा गया है ताकि पीड़ितों को आंतरिक रूप से विकसित मैलवेयर के साथ सबजेरो के रूप में ट्रैक किया जा सके। Microsoft थ्रेट इंटेलिजेंस सेंटर (MSTIC) की एक रिपोर्ट में थ्रेट एक्टर और Subzero मैलवेयर के बारे में विवरण जारी किया गया था। शोधकर्ता इस विशेष PSOA को KNOTWEED के रूप में ट्रैक करते हैं और मानते हैं कि यह DSIRF नाम का ऑस्ट्रिया-आधारित धमकी देने वाला अभिनेता है।

KNOTWEED दो अलग-अलग मॉडलों का एक संयोजन प्रदान करने की संभावना है - एक्सेस-ए-ए-सर्विस और हैक-फॉर-हायर, क्योंकि समूह दोनों अपने सबजेरो मैलवेयर को तीसरे पक्ष को बेचता है, जबकि कुछ हमलों में अधिक प्रत्यक्ष भागीदारी भी दिखाई देता है। पीड़ितों में ऑस्ट्रिया, यूके और पनामा में स्थित कानून फर्म, परामर्श एजेंसियां और बैंक शामिल हैं।

Subzero Malware विवरण

विभिन्न संक्रमण विधियों के माध्यम से चुने हुए लक्ष्यों तक सबजीरो खतरा पहुंचाया जाता है। हमलावरों ने शून्य-दिन के कारनामों का दुरुपयोग किया, जैसे कि CVE-2022-22047। इसके अलावा, मैलवेयर को एक हथियारयुक्त एक्सेल फ़ाइल के माध्यम से तैनात किया गया था, जो एक रियल एस्टेट दस्तावेज़ होने का नाटक कर रहा था। फ़ाइल में एक दूषित मैक्रो है जो पीड़ित के डिवाइस पर Subzero की डिलीवरी को ट्रिगर करता है।

पता लगाने से बचने के लिए, खतरे का मुख्य पेलोड लगभग पूरी तरह से स्मृति में रहता है। इसकी आक्रामक क्षमताओं में कीलॉगिंग, स्क्रीनशॉट कैप्चर करना, रिमोट शेल खोलना और कमांड निष्पादित करना, फ़ाइल एक्सफ़िल्टरेशन और बहुत कुछ शामिल हैं। इसके अलावा, मैलवेयर को हमले के अभियान के कमांड-एंड-कंट्रोल (C2, C&C) सर्वर से अतिरिक्त प्लगइन्स लाने और चलाने का निर्देश दिया जा सकता है।