ZxxZ Trojan

ZxxZ troojalane on varem tundmatu pahavaraoht, mida kasutatakse osana kibeda ATP (Advanced Persistent Threat) rühmale omistatud kahjulikest operatsioonidest. Ohu enda ja rünnakukampaania üksikasjad avalikustati avalikkusele Cisco Talose teadlaste aruandes. Trooja ZxxZ peamine sihtmärk on Bangladeshi valitsus ja tõenäoline eesmärk on küberspionaaž ja andmete vargus.

Oht edastatakse rikutud seadmetes 32-bitise Windowsi käivitatava failina. See on võimeline tõmbama ja seejärel käivitama täiendavaid rikutud mooduleid. Need komponendid visatakse nakatunud masinatesse failidena, mille üldnimed sarnanevad ntfsc.exe, Update.exe jne. Moodulid salvestatakse kohaliku rakenduse andmekausta ja käivitatakse Windowsi turbevärskendusena.

Trooja ZxxZ on varustatud mitme tuvastamisvastase funktsiooniga, sealhulgas hägustatud stringidega, võimalusega otsida ja tappa Windows Defenderi protsesse ja muid pahavaravastaseid lahendusi. Seejärel aktiveerib oht teabe kogumise funktsiooni. Saadud andmed salvestatakse mälupuhvrisse, enne kui need eksfiltreeritakse operatsiooni Command-and-Control (C2) serveritesse. C2-serveri vastus on kaasaskantav käivitatav fail, mis langeb asukohta „%LOCALAPPDATA%\Debug\”. Kui selle käivitatava faili edastamisel ilmneb tõrge, proovib ZxxZ protsessi enne peatamist ja väljumist täpselt 225 korda uuesti.

Tuleb märkida, et teadlased leidis kaks nakkusahelat, mõlemad versioonid algavad õngepüügimeiliga. Need peibutussõnumid on peidetud võltsitud e-posti aadresside taha, et need edastataks Pakistani valitsusasutustelt pärineva seadusliku kirjavahetusena. Kuid relvastatud failimanused võivad olla erinevad. Ühel juhul sisaldasid peibutusmeilid .RTF-faili, mis kasutab haavatavust CVE-2017-11882, et ohustada Microsoft Office'i haavatavate versioonidega masinaid. Rünnakuahela teine variant kasutab selle asemel .XLSX-dokumenti. Seekord kasutavad ründajad turvaauke CVE-2018-0798 ja CVE-2018-0802, et käivitada vananenud Microsoft Office'i eksemplarides koodi kaugkäivitamine.