ZxxZ Trojan

ZxxZ 트로이 목마는 이전에 알려지지 않은 맬웨어 위협으로 Bitter ATP(Advanced Persistent Threat) 그룹에 기인한 유해한 작업의 일부로 배포되고 있습니다. 위협 자체와 공격 캠페인에 대한 세부 정보는 Cisco Talos의 연구원이 작성한 보고서에서 공개되었습니다. ZxxZ 트로이 목마의 주요 목표는 방글라데시 정부이며 가능한 목표는 사이버 스파이 활동 및 데이터 절도입니다.

위협은 침해된 장치에 32비트 Windows 실행 파일로 전달됩니다. 손상된 모듈을 추가로 가져온 다음 실행할 수 있습니다. 이러한 구성 요소는 'ntfsc.exe', 'Update.exe' 등과 같은 일반 이름을 가진 파일로 감염된 시스템에 드롭됩니다. 모듈은 로컬 애플리케이션 데이터 폴더에 저장되고 Windows 보안 업데이트로 실행됩니다.

ZxxZ 트로이 목마는 난독화된 문자열, Windows Defender 및 기타 맬웨어 방지 솔루션의 프로세스를 검색하고 종료하는 기능을 비롯한 여러 가지 탐지 방지 기능을 갖추고 있습니다. 이후 위협은 정보 수집 기능을 활성화합니다. 획득한 데이터는 메모리 버퍼에 저장되고 작업의 C2(Command-and-Control) 서버로 유출됩니다. C2 서버의 응답은 '%LOCALAPPDATA%\Debug\' 위치에 삭제된 이식 가능한 실행 파일입니다. 이 실행 파일을 전달하는 동안 오류가 발생하면 ZxxZ는 중지하고 종료하기 전에 프로세스를 정확히 225번 재시도합니다.

연구자들은 주목해야 한다. 두 개의 감염 체인을 찾았습니다. 두 버전 모두 스피어 피싱 이메일로 시작합니다. 이러한 유인 메시지는 파키스탄 정부 기관에서 보내는 합법적인 통신으로 전달하기 위해 스푸핑된 이메일 주소 뒤에 숨겨져 있습니다. 그러나 무기화된 첨부 파일은 다를 수 있습니다. 한 경우, 유인 이메일은 취약한 Microsoft Office 버전이 있는 시스템을 손상시키기 위해 CVE-2017-11882 취약점을 악용하는 .RTF 파일을 전달했습니다. 공격 체인의 다른 변형은 대신 .XLSX 문서를 사용합니다. 이번에는 공격자가 CVE-2018-0798 및 CVE-2018-0802 취약점을 이용하여 오래된 Microsoft Office 인스턴스에서 원격 코드 실행을 트리거합니다.