ZxxZ Trojan

ZxxZ Trojos arklys yra anksčiau nežinoma kenkėjiškų programų grėsmė, kuri yra įdiegta kaip dalis žalingų operacijų, priskiriamų Bitter ATP (Advanced Persistent Threat) grupei. Išsami informacija apie pačią grėsmę ir atakos kampaniją buvo atskleista visuomenei Cisco Talos tyrėjų ataskaitoje. Pagrindinis „ZxxZ Trojos arklys“ tikslas yra Bangladešo vyriausybė, o tikėtinas tikslas – kibernetinis šnipinėjimas ir duomenų vagystės.

Grėsmė pateikiama kaip 32 bitų Windows vykdomasis failas pažeistuose įrenginiuose. Jis gali gauti ir tada vykdyti papildomus sugadintus modulius. Šie komponentai pašalinami užkrėstuose kompiuteriuose kaip failai, kurių bendrieji pavadinimai panašūs į „ntfsc.exe“, „Update.exe“ ir kt. Moduliai saugomi vietiniame programos duomenų aplanke ir vykdomi kaip „Windows“ saugos naujinimas.

„ZxxZ Trojos arklys“ aprūpintas keliomis apsaugos nuo aptikimo funkcijomis, įskaitant užmaskuotas eilutes, galimybę ieškoti ir naikinti „Windows Defender“ ir kitų apsaugos nuo kenkėjiškų programų procesus. Vėliau grėsmė suaktyvins informacijos rinkimo funkciją. Gauti duomenys bus saugomi atminties buferyje, prieš išfiltruojant juos į operacijos komandų ir valdymo (C2) serverius. Atsakymas iš C2 serverio bus nešiojamasis vykdomasis failas, numestas į „%LOCALAPPDATA%\Debug\“ vietą. Jei pristatant šį vykdomąjį failą įvyko klaida, ZxxZ dar kartą pabandys procesą lygiai 225 kartus prieš sustabdydamas ir išeidamas.

Pažymėtina, kad tyrėjai aptiktos dvi infekcijos grandinės, abi versijos prasideda sukčiavimo el. paštu. Šie viliojantys pranešimai yra paslėpti už suklastotų el. pašto adresų, kad būtų galima perduoti kaip teisėtą korespondenciją iš Pakistano vyriausybinių organizacijų. Tačiau ginkluotų failų priedai gali būti skirtingi. Vienu atveju viliojančiuose el. laiškuose buvo .RTF failas, kuris išnaudoja CVE-2017-11882 pažeidžiamumą, kad pakenktų kompiuteriams su pažeidžiamomis Microsoft Office versijomis. Kitas atakos grandinės variantas naudoja .XLSX dokumentą. Šį kartą užpuolikai naudojasi CVE-2018-0798 ir CVE-2018-0802 pažeidžiamumu, kad suaktyvintų nuotolinį kodo vykdymą pasenusiuose Microsoft Office egzemplioriuose.