Threat Database Trojans ZxxZ Trojan

ZxxZ Trojan

ZxxZ ட்ரோஜன் என்பது முன்னர் அறியப்படாத தீம்பொருள் அச்சுறுத்தலாகும், இது கசப்பான ATP (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) குழுவிற்குக் காரணமான தீங்கு விளைவிக்கும் செயல்பாடுகளின் ஒரு பகுதியாக பயன்படுத்தப்படுகிறது. அச்சுறுத்தல் பற்றிய விவரங்கள் மற்றும் தாக்குதல் பிரச்சாரம் ஆகியவை சிஸ்கோ டாலோஸ் ஆராய்ச்சியாளர்களின் அறிக்கையில் பொதுமக்களுக்கு வெளிப்படுத்தப்பட்டன. ZxxZ ட்ரோஜனின் முதன்மை இலக்கு பங்களாதேஷ் அரசாங்கம் மற்றும் இணைய உளவு மற்றும் தரவு திருட்டு ஆகும்.

மீறப்பட்ட சாதனங்களில் 32-பிட் விண்டோஸ் இயங்கக்கூடிய கோப்பாக அச்சுறுத்தல் வழங்கப்படுகிறது. இது கூடுதல் சிதைந்த தொகுதிக்கூறுகளைப் பெற்று செயல்படுத்தும் திறன் கொண்டது. இந்த கூறுகள் பாதிக்கப்பட்ட கணினிகளில் 'ntfsc.exe,' 'Update.exe,' போன்ற பொதுவான பெயர்களைக் கொண்ட கோப்புகளாக கைவிடப்படுகின்றன. தொகுதிகள் உள்ளூர் பயன்பாட்டு தரவு கோப்புறையில் சேமிக்கப்பட்டு Windows பாதுகாப்பு புதுப்பிப்பாக செயல்படுத்தப்படும்.

ZxxZ ட்ரோஜன் பல கண்டறிதல் எதிர்ப்பு அம்சங்களைக் கொண்டுள்ளது, இதில் தெளிவற்ற சரங்கள், விண்டோஸ் டிஃபென்டர் மற்றும் பிற மால்வேர் எதிர்ப்பு தீர்வுகளின் செயல்முறைகளைத் தேடும் மற்றும் அழிக்கும் திறன் ஆகியவை அடங்கும். பின்னர், அச்சுறுத்தல் ஒரு தகவல் சேகரிக்கும் செயல்பாட்டை செயல்படுத்தும். செயல்பாட்டின் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகங்களுக்கு வெளியேற்றப்படுவதற்கு முன், பெறப்பட்ட தரவு நினைவக பஃபரில் சேமிக்கப்படும். C2 சேவையகத்திலிருந்து வரும் பதில், '%LOCALAPPDATA%\Debug\' இடத்தில் கைவிடப்பட்ட கையடக்க இயங்கக்கூடியதாக இருக்கும். இந்த எக்ஸிகியூட்டபிள் டெலிவரியின் போது பிழை ஏற்பட்டால், நிறுத்திவிட்டு வெளியேறும் முன், ZxxZ சரியாக 225 முறை செயல்முறையை மீண்டும் முயற்சிக்கும்.

ஆராய்ச்சியாளர்கள் என்பது குறிப்பிடத்தக்கது இரண்டு தொற்று சங்கிலிகளைக் கண்டறிந்தது, இரண்டு பதிப்புகளும் ஈட்டி-ஃபிஷிங் மின்னஞ்சலுடன் தொடங்குகின்றன. இந்த கவர்ச்சியான செய்திகள் பாகிஸ்தானிய அரசாங்க அமைப்புகளிடமிருந்து வரும் முறையான கடிதப் பரிமாற்றங்களாக அனுப்புவதற்காக ஏமாற்றப்பட்ட மின்னஞ்சல் முகவரிகளுக்குப் பின்னால் மறைக்கப்பட்டுள்ளன. இருப்பினும், ஆயுதமேந்திய கோப்பு இணைப்புகள் வேறுபட்டிருக்கலாம். ஒரு சந்தர்ப்பத்தில், லூர் மின்னஞ்சல்கள் .RTF கோப்பைக் கொண்டு சென்றன, இது CVE-2017-11882 பாதிப்பைப் பயன்படுத்தி மைக்ரோசாஃப்ட் ஆஃபீஸ் பதிப்புகளைப் பயன்படுத்துகிறது. தாக்குதல் சங்கிலியின் மற்ற மாறுபாடு அதற்கு பதிலாக .XLSX ஆவணத்தைப் பயன்படுத்துகிறது. இந்த நேரத்தில், தாக்குபவர்கள் CVE-2018-0798 மற்றும் CVE-2018-0802 பாதிப்புகளைப் பயன்படுத்தி, காலாவதியான மைக்ரோசாஃப்ட் ஆஃபீஸ் நிகழ்வுகளில் ரிமோட் குறியீடு செயல்படுத்தலைத் தூண்டுகின்றனர்.

டிரெண்டிங்

அதிகம் பார்க்கப்பட்டது

ஏற்றுகிறது...