ZxxZ Trojan

Trojanec ZxxZ je prej neznana grožnja zlonamerne programske opreme, ki se uvaja kot del škodljivih operacij, ki jih pripisujejo skupini Bitter ATP (Advanced Persistent Threat). Podrobnosti o sami grožnji, pa tudi o napadu so javnosti razkrili v poročilu raziskovalci pri Cisco Talos. Primarni cilj trojanca ZxxZ je vlada Bangladeša, verjetni cilj pa sta kibernetsko vohunjenje in kraja podatkov.

Grožnja je na vdrtih napravah dostavljena kot 32-bitna izvedljiva datoteka sistema Windows. Sposoben je pridobiti in nato izvesti dodatne poškodovane module. Te komponente se na okuženih računalnikih spustijo kot datoteke s splošnimi imeni, podobnimi »ntfsc.exe«, »Update.exe« itd. Moduli so shranjeni v podatkovni mapi lokalne aplikacije in se izvajajo kot varnostna posodobitev sistema Windows.

Trojanec ZxxZ je opremljen z več funkcijami proti zaznavanju, vključno z zakritimi nizi, zmožnostjo iskanja in uničenja procesov Windows Defenderja in drugimi rešitvami proti zlonamerni programski opremi. Nato bo grožnja aktivirala funkcijo zbiranja informacij. Pridobljeni podatki bodo shranjeni v pomnilniškem medpomnilniku, preden bodo izločeni v strežnike za upravljanje in nadzor (C2) operacije. Odgovor strežnika C2 bo prenosna izvedljiva datoteka, spuščena na lokacijo '%LOCALAPPDATA%\Debug\'. V primeru napake med dostavo te izvedljive datoteke bo ZxxZ postopek ponovil natančno 225-krat, preden se bo ustavil in zapustil.

Treba je opozoriti, da so raziskovalci odkrili dve verigi okužbe, obe različici se začneta z e-poštnim sporočilom za lažno predstavljanje. Ta vabljiva sporočila so skrita za ponarejenimi e-poštnimi naslovi, da bi se prenesla kot zakonita korespondenca, ki prihaja iz pakistanskih vladnih organizacij. Vendar pa so lahko priloge datotek z orožjem različne. V enem primeru so e-poštna sporočila vabe vsebovala datoteko .RTF, ki izkorišča ranljivost CVE-2017-11882 za ogrožanje strojev z ranljivimi različicami Microsoft Officea. Druga različica verige napadov namesto tega uporablja dokument .XLSX. Tokrat napadalci izkoristijo ranljivosti CVE-2018-0798 in CVE-2018-0802, da sprožijo oddaljeno izvajanje kode v zastarelih primerih Microsoft Office.