ZxxZ Trojan

ZxxZ Trojas zirgs ir iepriekš nezināms ļaunprātīgas programmatūras drauds, kas tiek izvietots kā daļa no kaitīgām darbībām, kas attiecinātas uz grupu Bitter ATP (Advanced Persistent Threat). Sīkāka informācija par pašu draudu, kā arī uzbrukuma kampaņu tika atklāta sabiedrībai Cisco Talos pētnieku ziņojumā. Galvenais Trojas zirga ZxxZ mērķis ir Bangladešas valdība, un iespējamais mērķis ir kiberspiegošana un datu zādzība.

Draudi tiek piegādāti kā 32 bitu Windows izpildāmais fails uzlauztajās ierīcēs. Tas spēj ienest un pēc tam izpildīt papildu bojātus moduļus. Šie komponenti tiek izmesti inficētajās iekārtās kā faili ar vispārīgiem nosaukumiem, kas līdzīgi 'ntfsc.exe', 'Update.exe' utt. Moduļi tiek glabāti vietējā lietojumprogrammas datu mapē un tiek izpildīti kā Windows drošības atjauninājums.

ZxxZ Trojas zirgs ir aprīkots ar vairākiem pretatrašanas līdzekļiem, tostarp neskaidrām virknēm, iespēju meklēt un iznīcināt Windows Defender un citu pretļaunatūras risinājumu procesus. Pēc tam draudi aktivizēs informācijas vākšanas funkciju. Iegūtie dati tiks saglabāti atmiņas buferī, pirms tie tiks izfiltrēti operācijas Command-and-Control (C2) serveros. Atbilde no C2 servera būs pārnēsājams izpildāms fails, kas tiks ievietots vietā “%LOCALAPPDATA%\Debug\”. Ja šī izpildāmā faila piegādes laikā radīsies kļūda, ZxxZ atkārtos procesu tieši 225 reizes pirms apturēšanas un iziešanas.

Jāpiebilst, ka pētnieki atrastas divas infekcijas ķēdes, abas versijas sākas ar pikšķerēšanas e-pastu. Šie vilinājuma ziņojumi ir paslēpti aiz viltotām e-pasta adresēm, lai tie tiktu nodoti kā likumīga korespondence no Pakistānas valdības organizācijām. Tomēr ieroču failu pielikumi var būt dažādi. Vienā gadījumā vilinājuma e-pasta ziņojumos bija ietverts .RTF fails, kas izmanto ievainojamību CVE-2017-11882, lai apdraudētu iekārtas ar ievainojamām Microsoft Office versijām. Citā uzbrukuma ķēdes variantā tā vietā tiek izmantots .XLSX dokuments. Šoreiz uzbrucēji izmanto ievainojamības CVE-2018-0798 un CVE-2018-0802, lai aktivizētu attālo koda izpildi novecojušos Microsoft Office gadījumos.