ZxxZ Trojan
تروجان ZxxZ یک تهدید بدافزار ناشناخته قبلی است که به عنوان بخشی از عملیات مضر منتسب به گروه ATP تلخ (تهدید پایدار پیشرفته) استفاده می شود. جزئیات مربوط به خود تهدید و همچنین کمپین حمله در گزارشی توسط محققان Cisco Talos برای عموم فاش شد. هدف اصلی تروجان ZxxZ دولت بنگلادش است و هدف احتمالی آن جاسوسی سایبری و سرقت اطلاعات است.
این تهدید به صورت یک فایل اجرایی ویندوز 32 بیتی بر روی دستگاه های نقض شده ارائه می شود. این قابلیت واکشی و سپس اجرای ماژول های خراب اضافی را دارد. این مؤلفهها در دستگاههای آلوده بهعنوان فایلهایی با نامهای عمومی مشابه «ntfsc.exe»، «Update.exe» و غیره رها میشوند. ماژولها در پوشه دادههای برنامه محلی ذخیره میشوند و به عنوان یک بهروزرسانی امنیتی ویندوز اجرا میشوند.
تروجان ZxxZ به چندین ویژگی ضد تشخیص، از جمله رشته های مبهم، امکان جستجو و از بین بردن فرآیندهای Windows Defender و سایر راه حل های ضد بدافزار مجهز شده است. پس از آن، تهدید یک تابع جمع آوری اطلاعات را فعال می کند. داده های به دست آمده در یک بافر حافظه ذخیره می شوند، قبل از اینکه به سرورهای Command-and-Control (C2) عملیات استخراج شوند. پاسخ سرور C2 یک فایل اجرایی قابل حمل خواهد بود که در مکان '%LOCALAPPDATA%\Debug\' رها شده است. در صورت بروز خطا در هنگام تحویل این فایل اجرایی، ZxxZ قبل از توقف و خروج، دقیقاً 225 بار فرآیند را دوباره امتحان می کند.
لازم به ذکر است که محققین دو زنجیره عفونت پیدا کرد، هر دو نسخه با یک ایمیل فیشینگ نیزه شروع می شوند. این پیامهای فریبنده در پشت آدرسهای ایمیل جعلی پنهان میشوند تا به عنوان مکاتبات قانونی از سازمانهای دولتی پاکستان ارسال شوند. با این حال، پیوست های فایل های مسلح شده می توانند متفاوت باشند. در یک مورد، ایمیلهای فریبنده حاوی یک فایل RTF بودند که از آسیبپذیری CVE-2017-11882 برای به خطر انداختن ماشینهای دارای نسخههای آسیبپذیر Microsoft Office سوء استفاده میکرد. تغییر دیگر زنجیره حمله به جای آن از یک سند .XLSX استفاده می کند. این بار، مهاجمان از آسیبپذیریهای CVE-2018-0798 و CVE-2018-0802 برای راهاندازی اجرای کد از راه دور در نمونههای قدیمی مایکروسافت آفیس استفاده میکنند.