Threat Database Trojans ZxxZ Trojan

ZxxZ Trojan

Троянският кон ZxxZ е неизвестна досега заплаха за злонамерен софтуер, която се внедрява като част от вредните операции, приписвани на групата Bitter ATP (Advanced Persistent Threat). Подробности за самата заплаха, както и кампанията за атака бяха разкрити на обществеността в доклад на изследователите от Cisco Talos. Основната цел на троянския кон ZxxZ е правителството на Бангладеш и вероятната цел е кибершпионаж и кражба на данни.

Заплахата се доставя като 32-битов изпълним файл на Windows на взломените устройства. Той е в състояние да извлича и след това да изпълнява допълнителни повредени модули. Тези компоненти се пускат на заразените машини като файлове с общи имена, подобни на „ntfsc.exe“, „Update.exe“ и т.н. Модулите се съхраняват в папката с данни на локалното приложение и се изпълняват като актуализация за защита на Windows.

Троянският кон ZxxZ е снабден с няколко функции против откриване, включително закрити низове, възможност за търсене и убиване на процесите на Windows Defender и други анти-зловреден софтуер решения. След това заплахата ще активира функция за събиране на информация. Придобитите данни ще се съхраняват в буфер на паметта, преди да бъдат ексфилтрирани към сървърите за командване и управление (C2) на операцията. Отговорът от сървъра C2 ще бъде преносим изпълним файл, пуснат в местоположението '%LOCALAPPDATA%\Debug\'. В случай на грешка по време на доставката на този изпълним файл, ZxxZ ще опита отново процеса точно 225 пъти, преди да спре и да излезе.

Трябва да се отбележи, че изследователите откри две вериги за заразяване, и двете версии започват с фишинг имейл. Тези примамливи съобщения са скрити зад фалшиви имейл адреси, за да преминат като легитимна кореспонденция, идваща от пакистански правителствени организации. Въпреки това, прикачените с оръжие файлове могат да бъдат различни. В един случай имейлите за примамка съдържаха .RTF файл, който използва уязвимостта CVE-2017-11882 за компрометиране на машини с уязвими версии на Microsoft Office. Другият вариант на веригата за атака вместо това използва .XLSX документ. Този път нападателите се възползват от уязвимостите CVE-2018-0798 и CVE-2018-0802, за да задействат отдалечено изпълнение на код в остарели екземпляри на Microsoft Office.

Тенденция

Най-гледан

Зареждане...