ZxxZ Trojan

Το ZxxZ Trojan είναι μια προηγουμένως άγνωστη απειλή κακόβουλου λογισμικού, η οποία αναπτύσσεται ως μέρος των επιβλαβών λειτουργιών που αποδίδονται στην ομάδα Bitter ATP (Advanced Persistent Threat). Λεπτομέρειες σχετικά με την ίδια την απειλή, καθώς και την εκστρατεία επίθεσης αποκαλύφθηκαν στο κοινό σε έκθεση των ερευνητών της Cisco Talos. Ο πρωταρχικός στόχος του Trojan ZxxZ είναι η κυβέρνηση του Μπαγκλαντές και ο πιθανός στόχος είναι η κυβερνοκατασκοπεία και η κλοπή δεδομένων.

Η απειλή παραδίδεται ως ένα εκτελέσιμο αρχείο των Windows 32-bit στις συσκευές που έχουν παραβιαστεί. Έχει τη δυνατότητα ανάκτησης και στη συνέχεια εκτέλεσης πρόσθετων κατεστραμμένων λειτουργικών μονάδων. Αυτά τα στοιχεία απορρίπτονται στα μολυσμένα μηχανήματα ως αρχεία με γενικά ονόματα παρόμοια με τα «ntfsc.exe», «Update.exe» κ.λπ. Οι λειτουργικές μονάδες αποθηκεύονται στον φάκελο δεδομένων τοπικής εφαρμογής και εκτελούνται ως ενημέρωση ασφαλείας των Windows.

Το ZxxZ Trojan είναι εξοπλισμένο με πολλές δυνατότητες κατά της ανίχνευσης, συμπεριλαμβανομένων των ασαφών συμβολοσειρών, της δυνατότητας αναζήτησης και εξουδετέρωσης των διαδικασιών του Windows Defender και άλλων λύσεων κατά του κακόβουλου λογισμικού. Στη συνέχεια, η απειλή θα ενεργοποιήσει μια λειτουργία συλλογής πληροφοριών. Τα ληφθέντα δεδομένα θα αποθηκευτούν σε ένα buffer μνήμης, πριν από την εξαγωγή τους στους διακομιστές Command-and-Control (C2) της λειτουργίας. Η απάντηση από τον διακομιστή C2 θα είναι ένα φορητό εκτελέσιμο αρχείο που θα πέσει στη θέση '%LOCALAPPDATA%\Debug\'. Σε περίπτωση σφάλματος κατά την παράδοση αυτού του εκτελέσιμου αρχείου, το ZxxZ θα επαναλάβει τη διαδικασία ακριβώς 225 φορές πριν σταματήσει και βγει.

Ας σημειωθεί ότι οι ερευνητές βρήκε δύο αλυσίδες μόλυνσης, και οι δύο εκδόσεις ξεκινούν με ένα email ηλεκτρονικού ψαρέματος με δόρυ. Αυτά τα δελεαστικά μηνύματα είναι κρυμμένα πίσω από πλαστές διευθύνσεις email για να περάσουν ως νόμιμη αλληλογραφία που προέρχεται από κυβερνητικούς οργανισμούς του Πακιστάν. Ωστόσο, τα οπλισμένα συνημμένα αρχεία μπορεί να είναι διαφορετικά. Σε μια περίπτωση, τα μηνύματα ηλεκτρονικού ταχυδρομείου δέλεαρ έφεραν ένα αρχείο .RTF που εκμεταλλεύεται την ευπάθεια CVE-2017-11882 για να παραβιάσει μηχανήματα με ευάλωτες εκδόσεις του Microsoft Office. Η άλλη παραλλαγή της αλυσίδας επίθεσης χρησιμοποιεί ένα έγγραφο .XLSX. Αυτή τη φορά, οι εισβολείς εκμεταλλεύονται τις ευπάθειες CVE-2018-0798 και CVE-2018-0802 για να ενεργοποιήσουν την απομακρυσμένη εκτέλεση κώδικα σε παρωχημένες παρουσίες του Microsoft Office.