Threat Database Trojans ZxxZ Trojan

ZxxZ Trojan

ZxxZ Trojan គឺជាការគំរាមកំហែងមេរោគដែលមិនស្គាល់ពីមុន ដែលត្រូវបានដាក់ឱ្យប្រើប្រាស់ជាផ្នែកនៃប្រតិបត្តិការបង្កគ្រោះថ្នាក់ដែលកំណត់ដោយក្រុម Bitter ATP (Advanced Persistent Threat)។ ព័ត៌មានលម្អិតអំពីការគំរាមកំហែងខ្លួនឯង ក៏ដូចជាយុទ្ធនាការវាយប្រហារត្រូវបានបង្ហាញជាសាធារណៈនៅក្នុងរបាយការណ៍របស់អ្នកស្រាវជ្រាវនៅ Cisco Talos ។ គោលដៅចម្បងរបស់ ZxxZ Trojan គឺរដ្ឋាភិបាលនៃប្រទេសបង់ក្លាដែស ហើយគោលដៅទំនងជាគឺចារកម្មតាមអ៊ីនធឺណិត និងការលួចទិន្នន័យ។

ការគំរាមកំហែងត្រូវបានបញ្ជូនជាឯកសារដែលអាចប្រតិបត្តិបានរបស់ Windows 32 ប៊ីតនៅលើឧបករណ៍ដែលបំពាន។ វាមានសមត្ថភាពទៅយក ហើយបន្ទាប់មកប្រតិបត្តិម៉ូឌុលដែលខូចបន្ថែម។ សមាសធាតុទាំងនេះត្រូវបានទម្លាក់នៅលើម៉ាស៊ីនដែលមានមេរោគជាឯកសារដែលមានឈ្មោះទូទៅស្រដៀងទៅនឹង 'ntfsc.exe,' 'Update.exe,' ជាដើម។ ម៉ូឌុលត្រូវបានរក្សាទុកក្នុងថតទិន្នន័យកម្មវិធីក្នុងតំបន់ ហើយត្រូវបានប្រតិបត្តិជាការធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាពវីនដូ។

ZxxZ Trojan ត្រូវបានបំពាក់ដោយមុខងារប្រឆាំងការរកឃើញជាច្រើន រួមទាំងខ្សែអក្សរដែលច្រឡំ សមត្ថភាពក្នុងការស្វែងរក និងសម្លាប់ដំណើរការរបស់ Windows Defender និងដំណោះស្រាយប្រឆាំងមេរោគផ្សេងទៀត។ បន្ទាប់ពីនោះ ការគំរាមកំហែងនឹងដំណើរការមុខងារប្រមូលព័ត៌មាន។ ទិន្នន័យដែលទទួលបាននឹងត្រូវបានរក្សាទុកក្នុងសតិបណ្ដោះអាសន្ន មុនពេលត្រូវបានបញ្ចូនទៅម៉ាស៊ីនមេ Command-and-Control (C2) នៃប្រតិបត្តិការ។ ការឆ្លើយតបពីម៉ាស៊ីនមេ C2 នឹងក្លាយជាការប្រតិបត្តិដែលអាចចល័តបានដែលបានទម្លាក់ទៅក្នុងទីតាំង '%LOCALAPPDATA%\Debug\' ។ ក្នុងករណីមានកំហុសកំឡុងពេលចែកចាយការប្រតិបត្តិនេះ ZxxZ នឹងព្យាយាមដំណើរការឡើងវិញយ៉ាងពិតប្រាកដ 225 ដង មុនពេលឈប់ និងចេញ។

គួរកត់សំគាល់ថាអ្នកស្រាវជ្រាវ បានរកឃើញខ្សែសង្វាក់ឆ្លងមេរោគចំនួនពីរ កំណែទាំងពីរចាប់ផ្តើមដោយ spear-phishing email។ សារទាក់ទាញទាំងនេះត្រូវបានលាក់នៅពីក្រោយអាសយដ្ឋានអ៊ីមែលក្លែងក្លាយ ដើម្បីបញ្ជូនជាការឆ្លើយឆ្លងស្របច្បាប់ដែលចេញមកពីអង្គការរដ្ឋាភិបាលប៉ាគីស្ថាន។ ទោះយ៉ាងណាក៏ដោយ ការភ្ជាប់ឯកសារអាវុធអាចខុសគ្នា។ ក្នុងករណីមួយ អ៊ីមែលទាក់ទាញបានផ្ទុកឯកសារ .RTF ដែលទាញយកភាពងាយរងគ្រោះ CVE-2017-11882 ដើម្បីសម្របសម្រួលម៉ាស៊ីនជាមួយនឹងកំណែ Microsoft Office ដែលងាយរងគ្រោះ។ បំរែបំរួលផ្សេងទៀតនៃសង្វាក់វាយប្រហារប្រើប្រាស់ឯកសារ .XLSX ជំនួសវិញ។ លើកនេះ អ្នកវាយប្រហារទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះ CVE-2018-0798 និង CVE-2018-0802 ដើម្បីចាប់ផ្តើមដំណើរការកូដពីចម្ងាយនៅក្នុងឧទាហរណ៍ Microsoft Office ហួសសម័យ។

និន្នាការ

មើលច្រើនបំផុត

កំពុង​ផ្ទុក...