ZxxZ Trojan

ZxxZ ట్రోజన్ అనేది మునుపు తెలియని మాల్వేర్ ముప్పు, ఇది బిట్టర్ ATP (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) గ్రూప్‌కు ఆపాదించబడిన హానికరమైన కార్యకలాపాలలో భాగంగా అమలు చేయబడుతోంది. ముప్పు గురించిన వివరాలు, అలాగే దాడి ప్రచారం గురించి సిస్కో టాలోస్ పరిశోధకులు ఒక నివేదికలో ప్రజలకు వెల్లడించారు. ZxxZ ట్రోజన్ యొక్క ప్రాథమిక లక్ష్యం బంగ్లాదేశ్ ప్రభుత్వం మరియు సంభావ్య లక్ష్యం సైబర్‌స్పియోనేజ్ మరియు డేటా చోరీ.

ఉల్లంఘించిన పరికరాలలో ముప్పు 32-బిట్ విండోస్ ఎక్జిక్యూటబుల్ ఫైల్‌గా పంపిణీ చేయబడుతుంది. ఇది అదనపు పాడైన మాడ్యూల్‌లను పొంది, ఆపై అమలు చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది. 'ntfsc.exe,' 'Update.exe,' మొదలైన వాటికి సారూప్యమైన సాధారణ పేర్లతో ఫైల్‌లుగా ఈ భాగాలు సోకిన మెషీన్‌లపై పడవేయబడతాయి. మాడ్యూల్స్ స్థానిక అప్లికేషన్ డేటా ఫోల్డర్‌లో నిల్వ చేయబడతాయి మరియు Windows సెక్యూరిటీ అప్‌డేట్‌గా అమలు చేయబడతాయి.

ZxxZ ట్రోజన్ అనేక యాంటీ-డిటెక్షన్ ఫీచర్‌లను కలిగి ఉంది, ఇందులో అస్పష్టమైన స్ట్రింగ్‌లు, విండోస్ డిఫెండర్ మరియు ఇతర యాంటీ-మాల్వేర్ సొల్యూషన్‌ల ప్రక్రియలను శోధించే మరియు చంపే సామర్థ్యం ఉన్నాయి. ఆ తర్వాత, ముప్పు సమాచార సేకరణ ఫంక్షన్‌ని సక్రియం చేస్తుంది. పొందిన డేటా ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌లకు ఎక్స్‌ఫిల్ట్ చేయబడే ముందు మెమరీ బఫర్‌లో నిల్వ చేయబడుతుంది. C2 సర్వర్ నుండి ప్రతిస్పందన పోర్టబుల్ ఎక్జిక్యూటబుల్ '%LOCALAPPDATA%\డీబగ్\' లొకేషన్‌లోకి డ్రాప్ చేయబడుతుంది. ఈ ఎక్జిక్యూటబుల్ డెలివరీ సమయంలో లోపం సంభవించినట్లయితే, ZxxZ ఆపివేసి నిష్క్రమించే ముందు సరిగ్గా 225 సార్లు ప్రక్రియను మళ్లీ ప్రయత్నిస్తుంది.

అని పరిశోధకులు గమనించాలి రెండు ఇన్ఫెక్షన్ చైన్‌లను కనుగొన్నారు, రెండు వెర్షన్‌లు స్పియర్-ఫిషింగ్ ఇమెయిల్‌తో ప్రారంభమవుతాయి. ఈ ఎర సందేశాలు పాకిస్తాన్ ప్రభుత్వ సంస్థల నుండి వచ్చే చట్టబద్ధమైన కరస్పాండెన్స్‌గా పాస్ చేయడానికి మోసపూరిత ఇమెయిల్ చిరునామాల వెనుక దాచబడ్డాయి. అయితే, ఆయుధ ఫైల్ జోడింపులు భిన్నంగా ఉండవచ్చు. ఒక సందర్భంలో, లూర్ ఇమెయిల్‌లు .RTF ఫైల్‌ను కలిగి ఉన్నాయి, అది CVE-2017-11882 హాని కలిగించే మైక్రోసాఫ్ట్ ఆఫీస్ వెర్షన్‌లతో రాజీపడే మెషీన్‌లను ఉపయోగించుకుంటుంది. దాడి గొలుసు యొక్క ఇతర వైవిధ్యం బదులుగా .XLSX పత్రాన్ని ఉపయోగిస్తుంది. ఈసారి, దాడి చేసేవారు CVE-2018-0798 మరియు CVE-2018-0802 దుర్బలత్వాలను ఉపయోగించుకుని, కాలం చెల్లిన Microsoft Office సందర్భాలలో రిమోట్ కోడ్ అమలును ట్రిగ్గర్ చేస్తారు.