Threat Database Trojans ZxxZ Trojan

ZxxZ Trojan

ה-ZxxZ Trojan הוא איום תוכנה זדוני שלא ידוע בעבר, שנפרס כחלק מהפעולות המזיקות המיוחסות לקבוצת Bitter ATP (Advanced Persistent Threat). פרטים על האיום עצמו, כמו גם מסע התקיפה, נחשפו לציבור בדו"ח של החוקרים ב-Cisco Talos. היעד העיקרי של הטרויאני ZxxZ הוא ממשלת בנגלדש והמטרה הסבירה היא ריגול סייבר וגניבת מידע.

האיום מועבר כקובץ הפעלה של Windows ב-32 סיביות במכשירים הפורצים. הוא מסוגל להביא ולאחר מכן להפעיל מודולים פגומים נוספים. רכיבים אלה נשמטים על המחשבים הנגועים כקבצים עם שמות גנריים הדומים ל-'ntfsc.exe', 'Update.exe' וכו'. המודולים מאוחסנים בתיקיית נתוני היישום המקומית ומבוצעים כעדכון אבטחה של Windows.

הטרויאני ZxxZ מצויד במספר תכונות נגד זיהוי, כולל מחרוזות מעורפלות, היכולת לחפש ולהרוג את התהליכים של Windows Defender ופתרונות אחרים נגד תוכנות זדוניות. לאחר מכן, האיום יפעיל פונקציה לאיסוף מידע. הנתונים הנרכשים יאוחסנו במאגר זיכרון, לפני שהם יועברו לשרתי הפקודה והבקרה (C2) של הפעולה. התגובה משרת C2 תהיה קובץ הפעלה נייד שהוכנס למיקום '%LOCALAPPDATA%\Debug\'. במקרה של שגיאה במהלך אספקת קובץ ההפעלה הזה, ZxxZ תנסה שוב את התהליך בדיוק 225 פעמים לפני עצירה ויציאה.

יצוין כי החוקרים נמצאו שתי שרשראות זיהום, שתי הגרסאות מתחילות בדוא"ל דיוג חנית. הודעות הפיתוי הללו מוסתרות מאחורי כתובות דוא"ל מזויפות כדי לעבור כהתכתבות לגיטימית המגיעה מארגוני ממשלת פקיסטאן. עם זאת, קבצי הקבצים המצורפים בנשק יכולים להיות שונים. במקרה אחד, הודעות הדוא"ל הפיתוי נשאו קובץ .RTF המנצל את הפגיעות CVE-2017-11882 כדי לסכן מכונות עם גרסאות פגיעות של Microsoft Office. הווריאציה האחרת של שרשרת ההתקפה משתמשת במסמך XLSX במקום זאת. הפעם, התוקפים מנצלים את נקודות התורפה של CVE-2018-0798 ו-CVE-2018-0802 כדי להפעיל ביצוע קוד מרחוק במופעים מיושנים של Microsoft Office.

מגמות

הכי נצפה

טוען...