ZxxZ Trojan

ZxxZ-trojaneren er en tidligere ukjent trussel mot skadelig programvare, som blir distribuert som en del av de skadelige operasjonene som tilskrives gruppen Bitter ATP (Advanced Persistent Threat). Detaljer om selve trusselen, så vel som angrepskampanjen, ble avslørt for offentligheten i en rapport fra forskerne ved Cisco Talos. Det primære målet for ZxxZ-trojaneren er regjeringen i Bangladesh, og det sannsynlige målet er nettspionasje og datatyveri.

Trusselen leveres som en 32-biters kjørbar Windows-fil på enhetene som brytes. Den er i stand til å hente og deretter kjøre ytterligere ødelagte moduler. Disse komponentene slippes på de infiserte maskinene som filer med generiske navn som ligner på 'ntfsc.exe', 'Update.exe' osv. Modulene lagres i den lokale programdatamappen og kjøres som en Windows-sikkerhetsoppdatering.

ZxxZ-trojaneren er utstyrt med flere anti-deteksjonsfunksjoner, inkludert obfuskerte strenger, muligheten til å søke etter og drepe prosessene til Windows Defender og andre anti-malware-løsninger. Etterpå vil trusselen aktivere en informasjonsinnhentingsfunksjon. De innhentede dataene vil bli lagret i en minnebuffer før de eksfiltreres til Command-and-Control (C2)-servere for operasjonen. Svaret fra C2-serveren vil være en bærbar kjørbar fil som legges til '%LOCALAPPDATA%\Debug\'-plasseringen. I tilfelle en feil under leveringen av denne kjørbare filen, vil ZxxZ prøve prosessen på nytt nøyaktig 225 ganger før den stopper og avslutter.

Det skal bemerkes at forskerne fant to infeksjonskjeder, begge versjonene begynner med en spyd-phishing-e-post. Disse lokkemeldingene er gjemt bak forfalskede e-postadresser for å bestå som legitim korrespondanse fra pakistanske regjeringsorganisasjoner. Imidlertid kan de bevæpnede filvedleggene være forskjellige. I ett tilfelle hadde lokke-e-postene en .RTF-fil som utnytter CVE-2017-11882-sårbarheten for å kompromittere maskiner med sårbare Microsoft Office-versjoner. Den andre varianten av angrepskjeden bruker et .XLSX-dokument i stedet. Denne gangen utnytter angriperne CVE-2018-0798- og CVE-2018-0802-sårbarhetene for å utløse ekstern kjøring av kode i utdaterte Microsoft Office-forekomster.