ZxxZ Trojan

ZxxZ ट्रोजन एक पूर्व अज्ञात मैलवेयर खतरा है, जिसे बिटर एटीपी (एडवांस पर्सिस्टेंट थ्रेट) समूह के लिए जिम्मेदार हानिकारक संचालन के हिस्से के रूप में तैनात किया जा रहा है। सिस्को टैलोस के शोधकर्ताओं की एक रिपोर्ट में खतरे के बारे में विवरण, साथ ही हमले के अभियान को जनता के सामने प्रकट किया गया था। ZxxZ ट्रोजन का प्राथमिक लक्ष्य बांग्लादेश की सरकार है और संभावित लक्ष्य साइबर जासूसी और डेटा चोरी है।

खतरे को भंग किए गए उपकरणों पर 32-बिट विंडोज निष्पादन योग्य फ़ाइल के रूप में वितरित किया जाता है। यह अतिरिक्त दूषित मॉड्यूल को लाने और फिर निष्पादित करने में सक्षम है। इन घटकों को संक्रमित मशीनों पर 'ntfsc.exe,' 'Update.exe,' आदि जैसे सामान्य नामों वाली फाइलों के रूप में गिरा दिया जाता है। मॉड्यूल स्थानीय एप्लिकेशन डेटा फ़ोल्डर में संग्रहीत होते हैं और विंडोज सुरक्षा अपडेट के रूप में निष्पादित होते हैं।

ZxxZ ट्रोजन कई एंटी-डिटेक्शन फीचर्स से लैस है, जिसमें अस्पष्ट स्ट्रिंग्स, विंडोज डिफेंडर की प्रक्रियाओं को खोजने और मारने की क्षमता और अन्य एंटी-मैलवेयर समाधान शामिल हैं। बाद में, खतरा एक सूचना एकत्र करने के कार्य को सक्रिय करेगा। ऑपरेशन के कमांड-एंड-कंट्रोल (C2) सर्वर में एक्सफ़िल्टर किए जाने से पहले, अधिग्रहीत डेटा को मेमोरी बफर में संग्रहीत किया जाएगा। C2 सर्वर से प्रतिक्रिया एक पोर्टेबल निष्पादन योग्य होगी जिसे '%LOCALAPPDATA%\Debug\' स्थान में गिरा दिया गया है। इस निष्पादन योग्य की डिलीवरी के दौरान एक त्रुटि के मामले में, ZxxZ रुकने और बाहर निकलने से ठीक पहले 225 बार प्रक्रिया का पुन: प्रयास करेगा।

यह ध्यान दिया जाना चाहिए कि शोधकर्ताओं दो संक्रमण श्रृंखलाएं मिलीं, दोनों संस्करण स्पीयर-फ़िशिंग ईमेल से शुरू होते हैं। ये लुभावने संदेश नकली ईमेल पतों के पीछे छिपे होते हैं, जिन्हें पाकिस्तानी सरकारी संगठनों से आने वाले वैध पत्राचार के रूप में पारित किया जाता है। हालाँकि, हथियारयुक्त फ़ाइल अनुलग्नक भिन्न हो सकते हैं। एक मामले में, लुभावने ईमेल में एक .RTF फ़ाइल होती है जो Microsoft Office संस्करणों के साथ मशीनों से समझौता करने के लिए CVE-2017-11882 भेद्यता का फायदा उठाती है। हमले की श्रृंखला की अन्य विविधता इसके बजाय एक .XLSX दस्तावेज़ का उपयोग करती है। इस बार, हमलावर Microsoft Office के पुराने उदाहरणों में रिमोट कोड निष्पादन को ट्रिगर करने के लिए CVE-2018-0798 और CVE-2018-0802 कमजोरियों का लाभ उठाते हैं।