ZxxZ Trojan

Троянец ZxxZ — это ранее неизвестная угроза вредоносного ПО, которая развертывается в рамках вредоносных операций, приписываемых группе Bitter ATP (Advanced Persistent Threat). Подробности о самой угрозе, а также о кампании атаки были раскрыты общественности в отчете исследователей Cisco Talos. Основной целью троянца ZxxZ является правительство Бангладеш, а вероятная цель — кибершпионаж и кража данных.

Угроза доставляется на взломанные устройства в виде 32-разрядного исполняемого файла Windows. Он способен извлекать и затем выполнять дополнительные поврежденные модули. Эти компоненты сбрасываются на зараженные машины в виде файлов с общими именами, похожими на «ntfsc.exe», «Update.exe» и т. д. Модули хранятся в локальной папке данных приложения и выполняются как обновление безопасности Windows.

Троянец ZxxZ оснащен несколькими функциями защиты от обнаружения, включая запутанные строки, возможность поиска и уничтожения процессов Защитника Windows и другие решения для защиты от вредоносных программ. После этого угроза активирует функцию сбора информации. Полученные данные будут храниться в буфере памяти, прежде чем будут отправлены на серверы управления и контроля (C2) операции. Ответом от сервера C2 будет переносимый исполняемый файл, помещенный в папку %LOCALAPPDATA%\Debug\. В случае ошибки во время доставки этого исполняемого файла ZxxZ повторит процесс ровно 225 раз, прежде чем остановиться и выйти.

Следует отметить, что исследователи обнаружены две цепочки заражения, обе версии начинаются с фишингового письма. Эти сообщения-приманки скрыты за поддельными адресами электронной почты, чтобы выдавать их за законную корреспонденцию, поступающую от пакистанских правительственных организаций. Однако вложенные в оружие файлы могут быть разными. В одном случае электронные письма-приманки содержали файл .RTF, который использует уязвимость CVE-2017-11882 для компрометации компьютеров с уязвимыми версиями Microsoft Office. Другой вариант цепочки атак использует вместо этого документ .XLSX. На этот раз злоумышленники используют уязвимости CVE-2018-0798 и CVE-2018-0802, чтобы инициировать удаленное выполнение кода в устаревших экземплярах Microsoft Office.