ZxxZ Trojan

Trojan ZxxZ to wcześniej nieznane zagrożenie złośliwym oprogramowaniem, które jest wdrażane w ramach szkodliwych operacji przypisywanych grupie Bitter ATP (Advanced Persistent Threat). Szczegóły dotyczące samego zagrożenia, a także kampanii ataku zostały ujawnione opinii publicznej w raporcie opracowanym przez badaczy z Cisco Talos. Głównym celem trojana ZxxZ jest rząd Bangladeszu, a prawdopodobnym celem jest cyberszpiegostwo i kradzież danych.

Zagrożenie jest dostarczane jako 32-bitowy plik wykonywalny systemu Windows na złamanych urządzeniach. Jest w stanie pobrać, a następnie wykonać dodatkowe uszkodzone moduły. Komponenty te są upuszczane na zainfekowane maszyny jako pliki o ogólnych nazwach podobnych do „ntfsc.exe”, „Update.exe” itp. Moduły są przechowywane w lokalnym folderze danych aplikacji i wykonywane jako aktualizacja zabezpieczeń systemu Windows.

Trojan ZxxZ jest wyposażony w kilka funkcji przeciwdziałających wykrywaniu, w tym zamaskowane ciągi znaków, możliwość wyszukiwania i zabijania procesów Windows Defender i innych rozwiązań chroniących przed złośliwym oprogramowaniem. Następnie zagrożenie aktywuje funkcję zbierania informacji. Pozyskane dane będą przechowywane w buforze pamięci, zanim zostaną przeniesione na serwery Dowodzenia i Kontroli (C2) operacji. Odpowiedź z serwera C2 będzie przenośnym plikiem wykonywalnym umieszczonym w lokalizacji „%LOCALAPPDATA%\Debug\”. W przypadku błędu podczas dostarczania tego pliku wykonywalnego, ZxxZ powtórzy proces dokładnie 225 razy przed zatrzymaniem i zakończeniem.

Należy zauważyć, że badacze znaleziono dwa łańcuchy infekcji, obie wersje zaczynają się od wiadomości e-mail typu spear-phishing. Te kuszące wiadomości są ukryte za sfałszowanymi adresami e-mail, aby uchodzić za legalną korespondencję pochodzącą od pakistańskich organizacji rządowych. Jednak uzbrojone załączniki plików mogą być inne. W jednym przypadku wiadomości z przynętą zawierały plik .RTF, który wykorzystuje lukę CVE-2017-11882 w celu złamania zabezpieczeń komputerów z podatnymi wersjami pakietu Microsoft Office. Inna odmiana łańcucha ataków wykorzystuje zamiast tego dokument .XLSX. Tym razem osoby atakujące wykorzystują luki CVE-2018-0798 i CVE-2018-0802 do zdalnego wykonania kodu w przestarzałych instancjach pakietu Microsoft Office.