ZxxZ Trojan

V roce CagedTech v roce Trojans, Advanced Persistent Threat (APT)

Přeložit do:

Trojan ZxxZ je dříve neznámá malwarová hrozba, která je nasazována jako součást škodlivých operací připisovaných skupině Bitter ATP (Advanced Persistent Threat). Podrobnosti o samotné hrozbě, stejně jako o útočné kampani, odhalila veřejnost ve zprávě výzkumníků ze společnosti Cisco Talos. Primárním cílem trojského koně ZxxZ je vláda Bangladéše a pravděpodobným cílem je kyberšpionáž a krádež dat.

Hrozba je doručena jako 32bitový spustitelný soubor Windows na napadených zařízeních. Je schopen načíst a poté spustit další poškozené moduly. Tyto součásti jsou na infikované počítače vynechány jako soubory s obecnými názvy podobnými 'ntfsc.exe', 'Update.exe' atd. Moduly jsou uloženy v místní složce dat aplikace a spouštěny jako aktualizace zabezpečení systému Windows.

Trojan ZxxZ je vybaven několika funkcemi proti detekci, včetně zatemněných řetězců, schopnosti vyhledávat a zabíjet procesy programu Windows Defender a dalších řešení proti malwaru. Poté hrozba aktivuje funkci sběru informací. Získaná data budou uložena do vyrovnávací paměti, než budou exfiltrována na servery Command-and-Control (C2) operace. Odpovědí ze serveru C2 bude přenosný spustitelný soubor, který bude umístěn do umístění '%LOCALAPPDATA%\Debug\'. V případě chyby během doručení tohoto spustitelného souboru ZxxZ zopakuje proces přesně 225krát, než se zastaví a ukončí.

Je třeba poznamenat, že výzkumníci našli dva infekční řetězce, obě verze začínají e-mailem typu spear-phishing. Tyto návnadné zprávy jsou skryty za podvrženými e-mailovými adresami, aby byly vydávány za legitimní korespondenci pocházející od pákistánských vládních organizací. Přílohy ozbrojených souborů se však mohou lišit. V jednom případě obsahovaly e-maily s návnadou soubor .RTF, který zneužívá zranitelnost CVE-2017-11882 ke kompromitaci počítačů se zranitelnými verzemi Microsoft Office. Druhá varianta řetězce útoků místo toho využívá dokument .XLSX. Tentokrát útočníci využívají zranitelnosti CVE-2018-0798 a CVE-2018-0802 ke spuštění vzdáleného spuštění kódu v zastaralých instancích Microsoft Office.

Vyhledávání

Změnit region

ZxxZ Trojan

Odeslat komentář

Trendy

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Nejvíce shlédnuto

Je Lookmovie.io bezpečný?

DNS Unlocker

E-mailový podvod „Geek Squad“.