ZxxZ Trojan

A ZxxZ trójai egy korábban ismeretlen rosszindulatú fenyegetés, amelyet a Bitter ATP (Advanced Persistent Threat) csoportnak tulajdonított káros műveletek részeként telepítenek. Magáról a fenyegetésről, valamint a támadási kampányról szóló részleteket a Cisco Talos kutatóinak jelentésében tárták a nyilvánosság elé. A ZxxZ trójai elsődleges célpontja Banglades kormánya, a valószínű cél pedig a kiberkémkedés és az adatlopás.

A fenyegetést 32 bites Windows futtatható fájlként szállítják a feltört eszközökön. Képes további sérült modulok lekérésére, majd végrehajtására. Ezek az összetevők fájlokként kerülnek a fertőzött gépekre az „ntfsc.exe”, „Update.exe” stb. fájlokhoz hasonló általános névvel. A modulok a helyi alkalmazásadatok mappájában tárolódnak, és Windows biztonsági frissítésként futnak le.

A ZxxZ trójai számos észlelési funkcióval van felszerelve, beleértve a homályos karakterláncokat, a Windows Defender és más rosszindulatú programok elleni folyamatok keresésének és megölésének képességét. Ezt követően a fenyegetés aktivál egy információgyűjtő funkciót. A megszerzett adatokat a rendszer egy memóriapufferben tárolja, mielőtt kiszűrné őket a művelet Command-and-Control (C2) szervereire. A C2 szerver válasza egy hordozható végrehajtható fájl lesz, amely a „%LOCALAPPDATA%\Debug\” helyre kerül. Ha a végrehajtható fájl kézbesítése során hiba történik, a ZxxZ pontosan 225-ször újrapróbálja a folyamatot, mielőtt leállna és kilépne.

Meg kell jegyezni, hogy a kutatók két fertőzési láncot talált, mindkét verzió egy adathalász e-maillel kezdődik. Ezeket a csalogató üzeneteket hamisított e-mail címek mögé rejtik, hogy a pakisztáni kormányzati szervezetektől érkező legitim levelezésként továbbadják. A fegyveres fájlmellékletek azonban eltérőek lehetnek. Egy esetben a csalogató e-mailek .RTF fájlt tartalmaztak, amely a CVE-2017-11882 biztonsági rést kihasználva veszélyezteti a Microsoft Office sebezhető verzióit tartalmazó gépeket. A támadási lánc másik változata .XLSX dokumentumot használ helyette. Ezúttal a támadók a CVE-2018-0798 és CVE-2018-0802 biztonsági rést kihasználva távoli kódfuttatást indítanak el az elavult Microsoft Office-példányokban.