ZxxZ Trojan

ZxxZ Trojanac dosad je nepoznata prijetnja zlonamjernog softvera koja se primjenjuje kao dio štetnih operacija koje se pripisuju grupi Bitter ATP (Advanced Persistent Threat). Detalje o samoj prijetnji, kao i kampanji napada javnosti su otkrili u izvješću istraživača Cisco Talosa. Primarna meta ZxxZ trojanca je vlada Bangladeša, a vjerojatni cilj je kibernetička špijunaža i krađa podataka.

Prijetnja se isporučuje kao 32-bitna izvršna datoteka sustava Windows na oštećenim uređajima. Sposoban je dohvatiti i zatim izvršiti dodatne oštećene module. Ove komponente se ispuštaju na zaražene strojeve kao datoteke s generičkim nazivima sličnim 'ntfsc.exe', 'Update.exe' itd. Moduli su pohranjeni u mapu podataka lokalne aplikacije i izvršavaju se kao sigurnosno ažuriranje sustava Windows.

ZxxZ Trojanac opremljen je s nekoliko značajki za zaštitu od otkrivanja, uključujući zamagljene nizove, mogućnost traženja i ubijanja procesa Windows Defendera i druga rješenja protiv zlonamjernog softvera. Nakon toga, prijetnja će aktivirati funkciju prikupljanja informacija. Stečeni podaci bit će pohranjeni u memorijski međuspremnik, prije nego što se eksfiltriraju na poslužitelje za upravljanje i upravljanje (C2) operacije. Odgovor s C2 poslužitelja bit će prijenosna izvršna datoteka spuštena na lokaciju '%LOCALAPPDATA%\Debug\'. U slučaju pogreške tijekom isporuke ove izvršne datoteke, ZxxZ će ponoviti proces točno 225 puta prije zaustavljanja i izlaska.

Valja napomenuti da su istraživači pronađena su dva lanca zaraze, obje verzije počinju e-poštom za krađu identiteta. Ove mamljive poruke skrivene su iza lažnih adresa e-pošte kako bi prošle kao legitimna korespondencija koja dolazi od pakistanskih vladinih organizacija. Međutim, naoružani privici datoteka mogu biti različiti. U jednom slučaju, e-poruke za primamce sadržavale su .RTF datoteku koja iskorištava ranjivost CVE-2017-11882 za kompromitiranje strojeva s ranjivim verzijama Microsoft Officea. Druga varijacija lanca napada umjesto toga koristi .XLSX dokument. Ovaj put, napadači iskorištavaju ranjivosti CVE-2018-0798 i CVE-2018-0802 kako bi pokrenuli daljinsko izvršavanje koda u zastarjelim instancama Microsoft Officea.