ZxxZ Trojan

Trojan ZxxZ ialah ancaman perisian hasad yang tidak diketahui sebelum ini, yang sedang digunakan sebagai sebahagian daripada operasi berbahaya yang dikaitkan dengan kumpulan ATP Pahit (Advanced Persistent Threat). Butiran mengenai ancaman itu sendiri, serta kempen serangan telah didedahkan kepada umum dalam laporan oleh penyelidik di Cisco Talos. Sasaran utama Trojan ZxxZ ialah kerajaan Bangladesh dan matlamat yang mungkin adalah pengintipan siber dan kecurian data.

Ancaman dihantar sebagai fail boleh laku Windows 32-bit pada peranti yang dilanggar. Ia mampu mengambil dan kemudian melaksanakan modul rosak tambahan. Komponen ini digugurkan pada mesin yang dijangkiti sebagai fail dengan nama generik yang serupa dengan 'ntfsc.exe,' 'Update.exe,' dsb. Modul disimpan dalam folder data aplikasi tempatan dan dilaksanakan sebagai kemas kini keselamatan Windows.

ZxxZ Trojan dilengkapi dengan beberapa ciri anti-pengesanan, termasuk rentetan yang dikelirukan, keupayaan untuk mencari dan mematikan proses Windows Defender dan penyelesaian anti-malware yang lain. Selepas itu, ancaman akan mengaktifkan fungsi pengumpulan maklumat. Data yang diperoleh akan disimpan dalam penimbal memori, sebelum dieksfiltrasi ke pelayan Perintah-dan-Kawalan (C2) operasi. Respons daripada pelayan C2 akan menjadi boleh laku mudah alih yang digugurkan ke lokasi '%LOCALAPPDATA%\Debug\'. Sekiranya berlaku ralat semasa penghantaran boleh laku ini, ZxxZ akan mencuba semula proses tepat 225 kali sebelum berhenti dan keluar.

Perlu diingatkan bahawa penyelidik mendapati dua rantai jangkitan, kedua-dua versi bermula dengan e-mel spear-phishing. Mesej memikat ini tersembunyi di sebalik alamat e-mel palsu untuk dihantar sebagai surat-menyurat yang sah yang datang daripada organisasi kerajaan Pakistan. Walau bagaimanapun, lampiran fail bersenjata boleh berbeza. Dalam satu kes, e-mel gewang membawa fail .RTF yang mengeksploitasi kerentanan CVE-2017-11882 untuk menjejaskan mesin dengan versi Microsoft Office yang terdedah. Variasi rantai serangan yang lain menggunakan dokumen .XLSX sebaliknya. Kali ini, penyerang mengambil kesempatan daripada kelemahan CVE-2018-0798 dan CVE-2018-0802 untuk mencetuskan pelaksanaan kod jauh dalam contoh Microsoft Office yang sudah lapuk.