剣 KENSAI
← All posts · security · 2026-03-07 · 7 min

Google ज़ीरो-डे रिपोर्ट 2025: 90 शोषित खामियां, एंटरप्राइज़ लक्ष्यीकरण में तेज़ी

Google खतरा खुफिया Group's annual जीरो-डे विश्लेषण प्रकट करता है 90 भेद्यताएं शोषणed जंगल में के दौरान 2025 — with nearly half को निशाना बना रहा उद्यम सुरक्षा products, नेटवर्कing appliances, और cloud infrastructure. स्पाइवेयर विक्रेता और China-linked APTs dominate attriलेकिनion. इस बीच, एक 3.4-million-patient स्वास्थ्य सेवा उल्लंघन और नया फाइलकम मैलवेयर अभियान demonstrate क्यों continuous भेद्यता स्कैनिंग है no longer optional.


📊 Google's 2025 जीरो-डे Lऔरscape: Key Numbers

💡 Annual जीरो-डे Tracking by GTIG

Google खतरा खुफिया Group (GTIG) tracks जीरो-डे भेद्यताएं शोषणed जंगल में प्रत्येक वर्ष. The 2025 रिपोर्ट करना marks one of highest वर्ष on रिकॉर्ड, with 90 जीरो-डे पुष्टि की गई शोषणed — up from 73 in 2024 और दृष्टिकोणing 2021's peak of 97.

The उद्यम Shअगरt

The अधिकांश महत्वपूर्ण finding: लगभग 45 of 90 जीरो-डे (50%) सीधे targeted उद्यम products rather thएक consumer endpoints. यह represents एक dramatic shअगरt from पिछला वर्ष जब browsers और mobile operating सिस्टम dominated जीरो-डे शोषणation lऔरscape.

Categयाy जीरो-डे (2025) Percentage Trend vs 2024
उद्यम सुरक्षा Products ~20 22% 🔺 Up काफी
नेटवर्कing/VPN Appliances ~15 17% 🔺 Up
Cloud/SaaS प्लेटफॉर्म ~10 11% 🔺 Up
Mobile OS (iOS/Android) ~18 20% 🔻 Down
Browsers ~12 13% 🔻 Down
Desktop OS ~15 17% ➡️ Stable

Attriलेकिनion: Who's शोषण कर रहा जीरो-डे?

कम thएक half of 90 जीरो-डे सकता है be attriलेकिनed to विशिष्ट खतरा अभिकर्ता, लेकिन leading groups paint एक clear picture:

⚠️ Top जीरो-डे शोषणers in 2025

1. Commercial स्पाइवेयर विक्रेता — NSO Group, Intellexa, और नयाer entrants जारी रखना to dominate जीरो-डे शोषणation, accounting fया roughly 30% of attriलेकिनed जीरो-डे.
2. China-linked APT groups — कई चीनी state-backed groups (Salt Typhoon, Volt Typhoon, APT41) शोषणed उद्यम-focउपयोग किया गया जीरो-डे को निशाना बना रहा नेटवर्कing equipment और cloud प्लेटफॉर्म.
3. Russia-linked groups — Focउपयोग किया गया मुख्य रूप से on Ukrainiएक और यूरोपीय को निशाना बनाता है का उपयोग करके जीरो-डे in Microsoft products.
4. Nयाth Kयाea — बढ़ते हुए परिष्कृत, को निशाना बना रहा cryptocurrency प्लेटफॉर्म और विकसित करनाer tools.

Why उद्यम Products Are Now प्राथमिक Target

कई factयाs explain shअगरt toward उद्यम को निशाना बना रहा:


🏥 TriZetto स्वास्थ्य सेवा उल्लंघन: 3.4 Million Patients उजागर

⚠️ Massive स्वास्थ्य सेवा डेटा Exposure

TriZetto प्रदान करनाr Solutions (एक Cognizant subsidiary) खुलासा किया एक डेटा उल्लंघन प्रभावित कर रहा 3,433,965 individuals. हमलावर था unauthयाized पहुंच fया nearly एक वर्ष — from नवंबर 2024 to अक्टूबर 2025.

उल्लंघन समयसीमा

Date भीt
नवंबर 19, 2024 Unauthयाized पहुंच begins
अक्टूबर 2, 2025 Suspicious activity पता लगाया गया
दिसंबर 9, 2025 प्रभावित प्रदान करनाrs नहींअगरied
फरवरी 2026 ग्राहक अधिसूचनाs begin
मार्च 6, 2026 Maine AG filing confirms 3.4M प्रभावित

उजागर डेटा Types

The 317-दिन dwell time (from प्रारंभिक पहुंच to पता लगाना) है विशेष रूप से alarming और के तहतscयाes आवश्यकता fया continuous निगरानी करनाing और स्वचालित खतरा पता लगाना. Cognizant पिछलाly faced scrutiny बाद 2020 Maze रैंसमवेयर घटना और एक Scattered Spider-related उल्लंघन के माध्यम से its help desk.


🦠 VOID#GEIST: फाइलकम Multi-Stage मैलवेयर अभियान

⚠️ उन्नत फाइलकम हमला Chain

Securonix अनुसंधानers हैं प्रलेखित VOID#GEIST, एक परिष्कृत multi-stage मैलवेयर अभियान वह delivers XWयाm, AsyncRAT, और Xeno RAT के माध्यम से फाइलकम execution techniques.

हमला Chain Breakdown

  1. प्रारंभिक पहुंच — Batch script fetched from TryCloudflहैं domain viएक फिशिंग email
  2. Decoy dहैplay — Chrome opens एक fake financial PDF in full-screen as vहैual dहैtraction
  3. Hidden execution — PowerShell re-executes batch script with -WindowStyle Hidden
  4. Persहैtence — Startup directयाy placement (no regहैtry modअगरications, no विशेषाधिकार वृद्धि)
  5. Payload fetch — ZIP archives डाउनलोड किया गया containing एन्क्रिप्टेड shellcode और एक Python loader
  6. In-memयाy execution — Python चलानाtime decrypts और injects shellcode viएक Early Bird APC injection में explorer.exe

💡 Why यह Matters

The VOID#GEIST अभियान represents एक broader उद्योग shअगरt from stऔरalone executables toward modular, script-based deliबहुत ढांचे. प्रत्येक stage appears innocuous in हैolation, mimicking legitimate administrative activity. The उपयोग of एक legitimate embedded Python चलानाtime from python.याg eliminates dependencies और evades एप्लिकेशन अनुमति देनाlहैting.

Delivered Payloads

RAT Capabilities एन्क्रिप्टेड फाइल
XWयाm Full remote पहुंच, कुंजीlogging, screen capture, persहैtence नया.bin
AsyncRAT Asynchronous C2 communication, plugin extensibility, क्रेडेंशियल चोरी pul.bin
Xeno RAT Open-source RAT with HVNC, microphone/webcam पहुंच xn.bin

🌐 Cisco SD-WAN & Rockwell ICS: अधिक Active शोषण करता है

Cisco Catalyst SD-WAN

Cisco है पुष्टि की गई वह two हाल ही में पैच किया गया Catalyst SD-WAN भेद्यताएं — CVE-2026-20128 और CVE-2026-20122 — हैं अब हो रहा जंगल में सक्रिय रूप से शोषित. संगठन चल रहा प्रभावित SD-WAN configurations चाहिए लागू करना पैच तुरंत या लागू करना अनुशंसित wयाkके आसपासs.

Rockwell Automation ICS भेद्यता

A Rockwell Automation भेद्यता याiginसभीy खुलासा किया और शमन किया गया in 2021 की पुष्टि की गई है as सक्रिय रूप से शोषित in हमले को निशाना बना रहा industrial नियंत्रण सिस्टम. यह उजागर करता है एक persहैtent chसभीenge in OT/ICS environments: भी जब पैच exहैt, y often हैंn't applied के कारण operational consप्रशिक्षित करनाts और downtime concerns.

⚠️ ICS/OT Rहैk

If your संगठन चलानाs Rockwell programmable logic नियंत्रणlers (PLCs), सत्यापित करना पैच status तुरंत. Remote शोषण of ICS सिस्टम cएक lead to physical प्रक्रिया manipulation, safety सिस्टम bypasses, और operational dहैruption.


🔒 LeakBase Fयाum Shut Down — 142,000 उपयोगकर्ता

In एक positive विकसित करनाment, LeakBase cybercrime fयाum है रहा है shut down by law enforcement, with suspects arrested. The चुराया गया क्रेडेंशियल marketplace था रहा है active चूंकि 2021 और hosted 142,000 regहैtered उपयोगकर्ता trading in समझौता किया गया क्रेडेंशियल, व्यक्तिगत डेटा, और उल्लंघन डेटाबेस.

जबकि लेनाdowns प्रदान करना tempयाary dहैruption, hहैtयाy sकैसेs वह dहैplaced उपयोगकर्ता आमतौर पर migrate to alternative fयाums के भीतर सप्ताह. संगठन चाहिए उपयोग यह window to:


🛡️ अनुशंसित Actions

Fया उद्यम सुरक्षा Teams

  1. Priयाitize उद्यम product पैचing — VPN appliances, फायरवॉल, और सुरक्षा products हैं अब प्राथमिक जीरो-डे को निशाना बनाता है
  2. तैनात करना continuous स्वचालित स्कैन करनाning — मैनुअल भेद्यता मूल्यांकनs सकता हैनहीं keep pace with 90+ जीरो-डे annuसभीy
  3. निगरानी करना fया फाइलकम execution patterns — Look fया PowerShell hidden windows, Python चलानाtime downloads, और APC injection signatures
  4. Reduce dwell time — The TriZetto उल्लंघन's 317-दिन dwell time sकैसेs cost of delayed पता लगाना
  5. पैच ICS/OT सिस्टम — Old भेद्यताएं in Rockwell और similar सिस्टम हैं हो रहा सक्रिय रूप से शोषित वर्ष बाद dहैclosure

Fया स्वास्थ्य सेवा संगठन

  1. ऑडिट करना web pयाtal सुरक्षा — TriZetto's उल्लंघन याiginated के माध्यम से एक web pयाtal hऔरling insurance eligibility डेटा
  2. लागू करना नेटवर्क segmentation — Limit blast radius of कोई single compromहैe
  3. तैनात करना behaviयाal analytics — पता लगाना unauthयाized पहुंच patterns, especially fया डेटाबेस containing PHI
  4. समीक्षा third-party vendया सुरक्षा — Your vendया's सुरक्षा posture है your सुरक्षा posture