Threat Database Trojans ZxxZ Trojan

ZxxZ Trojan

Trojanec ZxxZ je prej neznana grožnja zlonamerne programske opreme, ki se uvaja kot del škodljivih operacij, ki jih pripisujejo skupini Bitter ATP (Advanced Persistent Threat). Podrobnosti o sami grožnji, pa tudi o napadu so javnosti razkrili v poročilu raziskovalci pri Cisco Talos. Primarni cilj trojanca ZxxZ je vlada Bangladeša, verjetni cilj pa sta kibernetsko vohunjenje in kraja podatkov.

Grožnja je na vdrtih napravah dostavljena kot 32-bitna izvedljiva datoteka sistema Windows. Sposoben je pridobiti in nato izvesti dodatne poškodovane module. Te komponente se na okuženih računalnikih spustijo kot datoteke s splošnimi imeni, podobnimi »ntfsc.exe«, »Update.exe« itd. Moduli so shranjeni v podatkovni mapi lokalne aplikacije in se izvajajo kot varnostna posodobitev sistema Windows.

Trojanec ZxxZ je opremljen z več funkcijami proti zaznavanju, vključno z zakritimi nizi, zmožnostjo iskanja in uničenja procesov Windows Defenderja in drugimi rešitvami proti zlonamerni programski opremi. Nato bo grožnja aktivirala funkcijo zbiranja informacij. Pridobljeni podatki bodo shranjeni v pomnilniškem medpomnilniku, preden bodo izločeni v strežnike za upravljanje in nadzor (C2) operacije. Odgovor strežnika C2 bo prenosna izvedljiva datoteka, spuščena na lokacijo '%LOCALAPPDATA%\Debug\'. V primeru napake med dostavo te izvedljive datoteke bo ZxxZ postopek ponovil natančno 225-krat, preden se bo ustavil in zapustil.

Treba je opozoriti, da so raziskovalci odkrili dve verigi okužbe, obe različici se začneta z e-poštnim sporočilom za lažno predstavljanje. Ta vabljiva sporočila so skrita za ponarejenimi e-poštnimi naslovi, da bi se prenesla kot zakonita korespondenca, ki prihaja iz pakistanskih vladnih organizacij. Vendar pa so lahko priloge datotek z orožjem različne. V enem primeru so e-poštna sporočila vabe vsebovala datoteko .RTF, ki izkorišča ranljivost CVE-2017-11882 za ogrožanje strojev z ranljivimi različicami Microsoft Officea. Druga različica verige napadov namesto tega uporablja dokument .XLSX. Tokrat napadalci izkoristijo ranljivosti CVE-2018-0798 in CVE-2018-0802, da sprožijo oddaljeno izvajanje kode v zastarelih primerih Microsoft Office.

V trendu

Najbolj gledan

Nalaganje...