ZxxZ Trojan

Trojan ZxxZ je predtým neznáma malvérová hrozba, ktorá je nasadzovaná ako súčasť škodlivých operácií pripisovaných skupine Bitter ATP (Advanced Persistent Threat). Podrobnosti o samotnej hrozbe, ako aj o útočnej kampani odhalila verejnosť v správe výskumníkov zo spoločnosti Cisco Talos. Primárnym cieľom trójskeho koňa ZxxZ je vláda Bangladéša a pravdepodobným cieľom je kyberšpionáž a krádež údajov.

Hrozba je doručená ako 32-bitový spustiteľný súbor Windows na napadnutých zariadeniach. Je schopný načítať a potom spustiť ďalšie poškodené moduly. Tieto komponenty sú uložené na infikovaných počítačoch ako súbory s generickými názvami podobnými 'ntfsc.exe', 'Update.exe' atď. Moduly sú uložené v lokálnom priečinku s údajmi aplikácie a spustené ako bezpečnostná aktualizácia systému Windows.

Trójsky kôň ZxxZ je vybavený niekoľkými funkciami proti detekcii vrátane zahmlených reťazcov, schopnosti vyhľadávať a zabíjať procesy programu Windows Defender a ďalších riešení proti malvéru. Potom hrozba aktivuje funkciu zhromažďovania informácií. Získané údaje sa uložia do vyrovnávacej pamäte predtým, ako budú exfiltrované na servery Command-and-Control (C2) operácie. Odpoveď zo servera C2 bude prenosný spustiteľný súbor stiahnutý do umiestnenia '%LOCALAPPDATA%\Debug\'. V prípade chyby pri doručovaní tohto spustiteľného súboru ZxxZ zopakuje proces presne 225-krát, kým sa zastaví a ukončí.

Treba poznamenať, že výskumníci našiel dva infekčné reťazce, obe verzie začínajú spear-phishingovým e-mailom. Tieto návnady sú skryté za falošnými e-mailovými adresami, aby sa mohli považovať za legitímnu korešpondenciu pochádzajúcu od pakistanských vládnych organizácií. Prílohy ozbrojených súborov sa však môžu líšiť. V jednom prípade obsahovali e-maily s návnadou súbor .RTF, ktorý využíva zraniteľnosť CVE-2017-11882 na kompromitovanie počítačov so zraniteľnými verziami balíka Microsoft Office. Ďalšia variácia reťazca útokov využíva namiesto toho dokument .XLSX. Tentoraz útočníci využívajú chyby zabezpečenia CVE-2018-0798 a CVE-2018-0802 na spustenie vzdialeného spustenia kódu v zastaraných inštanciách balíka Microsoft Office.