ZxxZ Trojan

ZxxZ ट्रोजन पहिलेको अज्ञात मालवेयर खतरा हो, जुन बिटर एटीपी (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) समूहलाई श्रेय दिइएको हानिकारक कार्यहरूको भागको रूपमा तैनात गरिएको छ। सिस्को टालोसका अन्वेषकहरूले गरेको रिपोर्टमा खतरा आफैं, साथै आक्रमण अभियानको विवरण सार्वजनिक गरिएको थियो। ZxxZ ट्रोजनको प्राथमिक लक्ष्य बंगलादेश सरकार हो र सम्भावित लक्ष्य साइबर जासूसी र डाटा चोरी हो।

धम्की उल्लङ्घन गरिएका उपकरणहरूमा 32-बिट Windows कार्यान्वयनयोग्य फाइलको रूपमा डेलिभर गरिएको छ। यसले थप भ्रष्ट मोड्युलहरू ल्याउन र त्यसपछि कार्यान्वयन गर्न सक्षम छ। यी कम्पोनेन्टहरू संक्रमित मेसिनहरूमा 'ntfsc.exe,' 'Update.exe,' आदि जस्ता सामान्य नामहरू भएका फाइलहरूको रूपमा छोडिन्छन्। मोड्युलहरू स्थानीय अनुप्रयोग डाटा फोल्डरमा भण्डारण गरिन्छ र Windows सुरक्षा अपडेटको रूपमा कार्यान्वयन गरिन्छ।

ZxxZ ट्रोजन अस्पष्ट स्ट्रिङहरू, विन्डोज डिफेन्डर र अन्य एन्टि-मालवेयर समाधानहरूको प्रक्रियाहरू खोज्ने र मार्ने क्षमता सहित धेरै एंटी-डिटेक्शन सुविधाहरूले सुसज्जित छ। पछि, धम्कीले जानकारी सङ्कलन कार्य सक्रिय गर्नेछ। अधिग्रहण गरिएको डाटा मेमोरी बफरमा भण्डारण गरिनेछ, अपरेशनको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरूमा बाहिर निकाल्नु अघि। C2 सर्भरबाट प्रतिक्रिया '%LOCALAPPDATA%\Debug\' स्थानमा छोडिने पोर्टेबल कार्यान्वयनयोग्य हुनेछ। यो कार्यान्वयन योग्यको डेलिभरीको क्रममा त्रुटि भएको अवस्थामा, ZxxZ ले रोक्न र बाहिर निस्कनु अघि 225 पटक प्रक्रियालाई पुन: प्रयास गर्नेछ।

यो अनुसन्धानकर्ताहरूले ध्यान दिनु पर्छ दुई संक्रमण चेन फेला पर्यो, दुबै संस्करणहरू भाला-फिशिङ इमेलबाट सुरु हुन्छ। यी प्रलोभन सन्देशहरू पाकिस्तानी सरकारी संस्थाहरूबाट आउने वैध पत्राचारको रूपमा पास गर्न नक्कली इमेल ठेगानाहरू पछाडि लुकेका छन्। यद्यपि, हतियारयुक्त फाइल संलग्नहरू फरक हुन सक्छन्। एउटा केसमा, लोभ इमेलहरूले एउटा .RTF फाइल बोकेको छ जसले CVE-2017-11882 कमजोर माइक्रोसफ्ट अफिस संस्करणहरूसँग मिसिनहरू सम्झौता गर्ने जोखिमको शोषण गर्दछ। आक्रमण श्रृंखलाको अन्य भिन्नताले यसको सट्टा .XLSX कागजात प्रयोग गर्दछ। यस पटक, आक्रमणकारीहरूले CVE-2018-0798 र CVE-2018-0802 कमजोरीहरूको फाइदा उठाउँछन् पुरानो Microsoft Office उदाहरणहरूमा रिमोट कोड कार्यान्वयन ट्रिगर गर्न।