ZxxZ Trojan

ZxxZ-trojanen är ett tidigare okänt malware-hot, som distribueras som en del av de skadliga operationerna som tillskrivs gruppen Bitter ATP (Advanced Persistent Threat). Detaljer om själva hotet, såväl som attackkampanjen, avslöjades för allmänheten i en rapport från forskarna vid Cisco Talos. Det primära målet för ZxxZ-trojanen är Bangladeshs regering och det troliga målet är cyberspionage och datastöld.

Hotet levereras som en 32-bitars körbar Windows-fil på de intrångade enheterna. Den kan hämta och sedan köra ytterligare skadade moduler. Dessa komponenter släpps på de infekterade datorerna som filer med generiska namn som liknar 'ntfsc.exe', 'Update.exe' etc. Modulerna lagras i den lokala applikationsdatamappen och körs som en säkerhetsuppdatering för Windows.

ZxxZ Trojan är utrustad med flera antidetekteringsfunktioner, inklusive obfuskerade strängar, möjligheten att söka efter och döda processerna i Windows Defender och andra lösningar mot skadlig programvara. Efteråt kommer hotet att aktivera en informationsinsamlingsfunktion. Den inhämtade datan kommer att lagras i en minnesbuffert innan den exfiltreras till operationens Command-and-Control-servrar (C2). Svaret från C2-servern kommer att vara en bärbar körbar fil som släpps till platsen '%LOCALAPPDATA%\Debug\'. I händelse av ett fel under leveransen av den här körbara filen kommer ZxxZ att försöka göra om processen exakt 225 gånger innan den stoppar och avslutar.

Det bör noteras att forskarna hittade två infektionskedjor, båda versionerna börjar med ett spjutfiske-e-postmeddelande. Dessa lockelsemeddelanden är gömda bakom falska e-postadresser för att passera som legitim korrespondens från pakistanska regeringsorganisationer. Däremot kan de beväpnade filbilagorna vara annorlunda. I ett fall innehöll lockbetsmeddelandena en .RTF-fil som utnyttjar sårbarheten CVE-2017-11882 för att äventyra maskiner med sårbara Microsoft Office-versioner. Den andra varianten av attackkedjan använder istället ett .XLSX-dokument. Den här gången drar angriparna fördel av sårbarheterna CVE-2018-0798 och CVE-2018-0802 för att utlösa fjärrkörning av kod i föråldrade Microsoft Office-instanser.