ZxxZ Trojan

De ZxxZ Trojan is een voorheen onbekende malwarebedreiging, die wordt ingezet als onderdeel van de schadelijke operaties die worden toegeschreven aan de Bitter ATP-groep (Advanced Persistent Threat). Details over de dreiging zelf, evenals de aanvalscampagne werden aan het publiek onthuld in een rapport van de onderzoekers van Cisco Talos. Het primaire doelwit van de ZxxZ Trojan is de regering van Bangladesh en het waarschijnlijke doel is cyberspionage en gegevensdiefstal.

De dreiging wordt geleverd als een 32-bits Windows-uitvoerbaar bestand op de geschonden apparaten. Het is in staat om extra beschadigde modules op te halen en vervolgens uit te voeren. Deze componenten worden op de geïnfecteerde machines neergezet als bestanden met generieke namen die lijken op 'ntfsc.exe,' 'Update.exe' enz. De modules worden opgeslagen in de lokale applicatiegegevensmap en uitgevoerd als een Windows-beveiligingsupdate.

De ZxxZ Trojan is uitgerust met verschillende anti-detectiefuncties, waaronder versluierde strings, de mogelijkheid om de processen van Windows Defender en andere anti-malwareoplossingen te zoeken en te beëindigen. Daarna activeert de dreiging een functie voor het verzamelen van informatie. De verkregen gegevens worden opgeslagen in een geheugenbuffer voordat ze worden geëxfiltreerd naar de Command-and-Control (C2) -servers van de operatie. Het antwoord van de C2-server is een draagbaar uitvoerbaar bestand dat op de locatie '%LOCALAPPDATA%\Debug\' wordt neergezet. In het geval van een fout tijdens de levering van dit uitvoerbare bestand, zal ZxxZ het proces precies 225 keer opnieuw proberen voordat het stopt en afsluit.

Opgemerkt moet worden dat de onderzoekers twee infectieketens heeft gevonden, beginnen beide versies met een spear-phishing-e-mail. Deze lokberichten zijn verborgen achter vervalste e-mailadressen om door te geven als legitieme correspondentie van Pakistaanse overheidsorganisaties. De bewapende bestandsbijlagen kunnen echter verschillen. In één geval bevatten de verlokkende e-mails een .RTF-bestand dat misbruik maakt van de kwetsbaarheid CVE-2017-11882 om computers met kwetsbare Microsoft Office-versies te compromitteren. De andere variant van de aanvalsketen gebruikt in plaats daarvan een .XLSX-document. Deze keer maken de aanvallers gebruik van de kwetsbaarheden CVE-2018-0798 en CVE-2018-0802 om uitvoering van externe code te activeren in verouderde Microsoft Office-instanties.