ZxxZ Trojan

يُعد ZxxZ Trojan تهديدًا للبرامج الضارة غير معروف سابقًا ، ويتم نشره كجزء من العمليات الضارة المنسوبة إلى مجموعة Bitter ATP (التهديد المتقدم المستمر). تم الكشف عن تفاصيل حول التهديد نفسه ، وكذلك حملة الهجوم للجمهور في تقرير صادر عن الباحثين في Cisco Talos. الهدف الأساسي لـ ZxxZ Trojan هو حكومة بنغلاديش والهدف المحتمل هو التجسس الإلكتروني وسرقة البيانات.

يتم تسليم التهديد كملف Windows 32 بت قابل للتنفيذ على الأجهزة التي تم اختراقها. إنه قادر على جلب ثم تنفيذ وحدات تالفة إضافية. يتم إسقاط هذه المكونات على الأجهزة المصابة كملفات بأسماء عامة مشابهة لـ "ntfsc.exe" و "Update.exe" وما إلى ذلك. يتم تخزين الوحدات النمطية في مجلد بيانات التطبيق المحلي ويتم تنفيذها كتحديث أمان Windows.

تم تجهيز ZxxZ Trojan بالعديد من ميزات مكافحة الكشف ، بما في ذلك السلاسل المشوشة والقدرة على البحث عن عمليات Windows Defender وقتلها وحلول أخرى لمكافحة البرامج الضارة. بعد ذلك ، سيقوم التهديد بتنشيط وظيفة جمع المعلومات. سيتم تخزين البيانات التي تم الحصول عليها في مخزن مؤقت للذاكرة ، قبل أن يتم تسريبها إلى خوادم القيادة والتحكم (C2) للعملية. ستكون الاستجابة من خادم C2 عبارة عن ملف تنفيذي محمول تم إسقاطه في موقع '٪ LOCALAPPDATA٪ \ Debug \'. في حالة حدوث خطأ أثناء تسليم هذا الملف القابل للتنفيذ ، ستعيد ZxxZ العملية 225 مرة بالضبط قبل التوقف والخروج.

جدير بالذكر أن الباحثين وجدت سلسلتي إصابة ، كلا الإصدارين يبدأان برسالة بريد إلكتروني تصيد بالرمح. يتم إخفاء رسائل الإغراء هذه خلف عناوين البريد الإلكتروني المخادعة لتمريرها كمراسلات شرعية واردة من مؤسسات حكومية باكستانية. ومع ذلك ، يمكن أن تكون مرفقات الملفات المُسلَّحة مختلفة. في إحدى الحالات ، حملت رسائل البريد الإلكتروني المغرية ملف .RTF يستغل الثغرة الأمنية CVE-2017-11882 لخرق الأجهزة ذات إصدارات Microsoft Office الضعيفة. يستخدم الشكل الآخر لسلسلة الهجوم مستند XLSX بدلاً من ذلك. هذه المرة ، يستفيد المهاجمون من الثغرات الأمنية CVE-2018-0798 و CVE-2018-0802 لتشغيل تنفيذ التعليمات البرمجية عن بُعد في مثيلات Microsoft Office القديمة.