ZxxZ Trojan

ЗккЗ тројанац је раније непозната претња од малвера, која се примењује као део штетних операција које се приписују групи Биттер АТП (Адванцед Персистент Тхреат). Детаљи о самој претњи, као и о кампањи напада, откривени су јавности у извештају истраживача компаније Цисцо Талос. Примарна мета ЗккЗ тројанца је влада Бангладеша, а вероватни циљ је сајбер шпијунажа и крађа података.

Претња се испоручује као 32-битна Виндовс извршна датотека на оштећеним уређајима. Може да преузме и затим изврши додатне оштећене модуле. Ове компоненте се испуштају на заражене машине као датотеке са генеричким именима сличним „нтфсц.еке“, „Упдате.еке“ итд. Модули се чувају у фолдеру података локалне апликације и извршавају се као безбедносна исправка за Виндовс.

ЗккЗ Тројанац је опремљен са неколико функција за заштиту од откривања, укључујући замагљене низове, могућност тражења и убијања процеса Виндовс Дефендер-а и друга решења против малвера. Након тога, претња ће активирати функцију прикупљања информација. Прикупљени подаци ће бити ускладиштени у меморијском баферу, пре него што буду ексфилтрирани на сервере за команду и контролу (Ц2) операције. Одговор са Ц2 сервера ће бити преносиви извршни фајл спуштен на локацију '%ЛОЦАЛАППДАТА%\Дебуг\'. У случају грешке током испоруке ове извршне датотеке, ЗккЗ ће поново покушати процес тачно 225 пута пре него што заустави и изађе.

Треба напоменути да су истраживачи пронашао два ланца заразе, обе верзије почињу са спеар-пхисхинг емаил-ом. Ове примамљиве поруке су скривене иза лажних адреса е-поште да би прошле као легитимна преписка која долази од пакистанских владиних организација. Међутим, прилози датотека са оружјем могу бити различити. У једном случају, е-поруке са мамцима су носиле .РТФ датотеку која искоришћава рањивост ЦВЕ-2017-11882 да би компромитовала машине са рањивим верзијама Мицрософт Оффице-а. Друга варијација ланца напада уместо тога користи .КСЛСКС документ. Овог пута, нападачи користе предности ЦВЕ-2018-0798 и ЦВЕ-2018-0802 рањивости да покрену даљинско извршавање кода у застарелим инстанцама Мицрософт Оффице-а.