Threat Database Trojans ZxxZ Trojan

ZxxZ Trojan

تروجان ZxxZ یک تهدید بدافزار ناشناخته قبلی است که به عنوان بخشی از عملیات مضر منتسب به گروه ATP تلخ (تهدید پایدار پیشرفته) استفاده می شود. جزئیات مربوط به خود تهدید و همچنین کمپین حمله در گزارشی توسط محققان Cisco Talos برای عموم فاش شد. هدف اصلی تروجان ZxxZ دولت بنگلادش است و هدف احتمالی آن جاسوسی سایبری و سرقت اطلاعات است.

این تهدید به صورت یک فایل اجرایی ویندوز 32 بیتی بر روی دستگاه های نقض شده ارائه می شود. این قابلیت واکشی و سپس اجرای ماژول های خراب اضافی را دارد. این مؤلفه‌ها در دستگاه‌های آلوده به‌عنوان فایل‌هایی با نام‌های عمومی مشابه «ntfsc.exe»، «Update.exe» و غیره رها می‌شوند. ماژول‌ها در پوشه داده‌های برنامه محلی ذخیره می‌شوند و به عنوان یک به‌روزرسانی امنیتی ویندوز اجرا می‌شوند.

تروجان ZxxZ به چندین ویژگی ضد تشخیص، از جمله رشته های مبهم، امکان جستجو و از بین بردن فرآیندهای Windows Defender و سایر راه حل های ضد بدافزار مجهز شده است. پس از آن، تهدید یک تابع جمع آوری اطلاعات را فعال می کند. داده های به دست آمده در یک بافر حافظه ذخیره می شوند، قبل از اینکه به سرورهای Command-and-Control (C2) عملیات استخراج شوند. پاسخ سرور C2 یک فایل اجرایی قابل حمل خواهد بود که در مکان '%LOCALAPPDATA%\Debug\' رها شده است. در صورت بروز خطا در هنگام تحویل این فایل اجرایی، ZxxZ قبل از توقف و خروج، دقیقاً 225 بار فرآیند را دوباره امتحان می کند.

لازم به ذکر است که محققین دو زنجیره عفونت پیدا کرد، هر دو نسخه با یک ایمیل فیشینگ نیزه شروع می شوند. این پیام‌های فریبنده در پشت آدرس‌های ایمیل جعلی پنهان می‌شوند تا به عنوان مکاتبات قانونی از سازمان‌های دولتی پاکستان ارسال شوند. با این حال، پیوست های فایل های مسلح شده می توانند متفاوت باشند. در یک مورد، ایمیل‌های فریبنده حاوی یک فایل RTF بودند که از آسیب‌پذیری CVE-2017-11882 برای به خطر انداختن ماشین‌های دارای نسخه‌های آسیب‌پذیر Microsoft Office سوء استفاده می‌کرد. تغییر دیگر زنجیره حمله به جای آن از یک سند .XLSX استفاده می کند. این بار، مهاجمان از آسیب‌پذیری‌های CVE-2018-0798 و CVE-2018-0802 برای راه‌اندازی اجرای کد از راه دور در نمونه‌های قدیمی مایکروسافت آفیس استفاده می‌کنند.

پرطرفدار

پربیننده ترین

بارگذاری...