ZxxZ Trojan

ZxxZ-trojaneren er en hidtil ukendt malwaretrussel, der bliver implementeret som en del af de skadelige operationer, der tilskrives Bitter ATP-gruppen (Advanced Persistent Threat). Detaljer om selve truslen såvel som angrebskampagnen blev afsløret for offentligheden i en rapport fra forskerne hos Cisco Talos. Det primære mål for ZxxZ-trojaneren er Bangladeshs regering, og det sandsynlige mål er cyberspionage og datatyveri.

Truslen leveres som en 32-bit Windows-eksekverbar fil på de brudte enheder. Det er i stand til at hente og derefter udføre yderligere beskadigede moduler. Disse komponenter slippes på de inficerede maskiner som filer med generiske navne, der ligner 'ntfsc.exe,' 'Update.exe' osv. Modulerne gemmes i den lokale programdatamappe og udføres som en Windows-sikkerhedsopdatering.

ZxxZ Trojan er udstyret med adskillige anti-detektionsfunktioner, herunder slørede strenge, evnen til at søge efter og dræbe processerne i Windows Defender og andre anti-malware-løsninger. Bagefter vil truslen aktivere en info-indsamlingsfunktion. De indhentede data vil blive gemt i en hukommelsesbuffer, før de eksfiltreres til operationens Command-and-Control-servere (C2). Svaret fra C2-serveren vil være en bærbar eksekverbar fil, der falder til '%LOCALAPPDATA%\Debug\'-placeringen. I tilfælde af en fejl under leveringen af denne eksekverbare, vil ZxxZ prøve processen igen nøjagtigt 225 gange, før den stopper og afslutter.

Det skal bemærkes, at forskerne fundet to infektionskæder, begynder begge versioner med en spear-phishing-e-mail. Disse lokkemeddelelser er gemt bag forfalskede e-mail-adresser, så de passerer som legitim korrespondance fra pakistanske regeringsorganisationer. De våbenbaserede filvedhæftninger kan dog være anderledes. I et tilfælde havde lokkemails en .RTF-fil, der udnytter CVE-2017-11882-sårbarheden til at kompromittere maskiner med sårbare Microsoft Office-versioner. Den anden variant af angrebskæden bruger i stedet et .XLSX-dokument. Denne gang udnytter angriberne CVE-2018-0798- og CVE-2018-0802-sårbarhederne til at udløse fjernudførelse af kode i forældede Microsoft Office-forekomster.