Subzero मालवेयर
एक निजी-क्षेत्र आपत्तिजनक अभिनेता (PSOA) ले Subzero को रूपमा ट्र्याक गरिएको आन्तरिक-विकसित मालवेयरबाट पीडितहरूलाई संक्रमित गर्न धेरै विन्डोज र Adobe शून्य-दिन जोखिमहरू प्रयोग गरेको देखाइएको छ। माइक्रोसफ्ट थ्रेट इन्टेलिजेन्स सेन्टर (MSTIC) द्वारा एक रिपोर्टमा खतरा अभिनेता र सबजेरो मालवेयरको बारेमा विवरणहरू जारी गरिएको थियो। अनुसन्धानकर्ताहरूले यो विशेष PSOA KNOTWEED को रूपमा ट्र्याक गर्छन् र विश्वास गर्छन् कि यो DSIRF नामको अस्ट्रिया-आधारित खतरा अभिनेता हो।
KNOTWEED ले दुई फरक मोडेलहरूको संयोजन प्रदान गर्ने सम्भावना छ - पहुँच-जस्तै-सेवा र ह्याक-फर-भाडा, किनकि समूहले आफ्नो Subzero मालवेयर तेस्रो पक्षहरूलाई बेच्दछ जबकि निश्चित आक्रमणहरूमा बढी प्रत्यक्ष संलग्नता पनि देखिन्छ। पीडितहरूमा अस्ट्रिया, बेलायत र पनामामा रहेका कानुनी संस्थाहरू, परामर्शदाता संस्थाहरू र बैंकहरू पर्छन्।
Subzero मालवेयर विवरण
Subzero खतरा विभिन्न संक्रमण विधिहरू मार्फत चयन गरिएका लक्ष्यहरूमा डेलिभर गरिन्छ। आक्रमणकारीहरूले शून्य-दिनको शोषणको दुरुपयोग गरे, जस्तै CVE-2022-22047। थप रूपमा, मालवेयरलाई हतियारयुक्त एक्सेल फाइल मार्फत तैनाथ गरिएको थियो, घर जग्गा कागजात भएको बहाना गर्दै। फाइलमा दूषित म्याक्रो थियो जसले पीडितको उपकरणमा Subzero को डेलिभरी ट्रिगर गर्दछ।
पत्ता लगाउनबाट बच्न, खतराको मुख्य पेलोड लगभग पूर्ण रूपमा मेमोरीमा रहन्छ। यसको आक्रामक क्षमताहरूमा कीलगिङ, स्क्रिनसटहरू क्याप्चर गर्ने, रिमोट शेल खोल्ने र आदेशहरू कार्यान्वयन गर्ने, फाइल निष्कासन र थप कुराहरू समावेश छन्। थप रूपमा, मालवेयरलाई आक्रमणको अभियानको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरबाट थप प्लगइनहरू ल्याउन र चलाउन निर्देशन दिन सकिन्छ।
