ZxxZ Trojan

ZxxZ-troijalainen on aiemmin tuntematon haittaohjelmauhka, jota otetaan käyttöön osana Bitter ATP (Advanced Persistent Threat) -ryhmän haitallisia toimia. Yksityiskohdat itse uhasta sekä hyökkäyskampanjasta paljastettiin yleisölle Cisco Talosin tutkijoiden raportissa. ZxxZ-troijalaisen ensisijainen kohde on Bangladeshin hallitus, ja todennäköinen tavoite on kybervakoilu ja tietovarkaudet.

Uhka toimitetaan 32-bittisenä Windows-suoritettavana tiedostona rikottuihin laitteisiin. Se pystyy hakemaan ja sitten suorittamaan lisää vioittuneita moduuleja. Nämä komponentit pudotetaan tartunnan saaneisiin koneisiin tiedostoina, joilla on samanlaiset yleisnimet kuin 'ntfsc.exe', 'Update.exe' jne. Moduulit tallennetaan paikalliseen sovelluksen tietokansioon ja suoritetaan Windowsin tietoturvapäivityksenä.

ZxxZ-troijalainen on varustettu useilla havaitsemisenestoominaisuuksilla, mukaan lukien hämärät merkkijonot, mahdollisuus etsiä ja tappaa Windows Defenderin prosesseja ja muita haittaohjelmien torjuntaratkaisuja. Myöhemmin uhka aktivoi tiedonkeruutoiminnon. Hankitut tiedot tallennetaan muistipuskuriin, ennen kuin ne suodatetaan operaation Command-and-Control (C2) -palvelimille. C2-palvelimen vastaus on kannettava suoritettava tiedosto, joka pudotetaan sijaintiin %LOCALAPPDATA%\Debug\. Jos tämän suoritettavan tiedoston toimituksen aikana tapahtuu virhe, ZxxZ yrittää prosessia uudelleen täsmälleen 225 kertaa ennen pysäyttämistä ja poistumista.

On huomattava, että tutkijat löysi kaksi tartuntaketjua, molemmat versiot alkavat keihäs-phishing-sähköpostilla. Nämä houkutusviestit piilotetaan väärennettyjen sähköpostiosoitteiden taakse, jotta ne toimisivat Pakistanin hallituksen organisaatioilta tulevana laillisena kirjeenä. Aseistetut tiedostoliitteet voivat kuitenkin olla erilaisia. Yhdessä tapauksessa houkutussähköpostit sisälsivät .RTF-tiedoston, joka hyödyntää CVE-2017-11882-haavoittuvuutta koneiden, joissa oli haavoittuvia Microsoft Office -versioita, vaarantamiseen. Hyökkäysketjun toinen muunnelma käyttää sen sijaan .XLSX-dokumenttia. Tällä kertaa hyökkääjät hyödyntävät CVE-2018-0798- ja CVE-2018-0802-haavoittuvuuksia käynnistääkseen koodin etäsuorittamisen vanhentuneissa Microsoft Office -esiintymissä.