ZxxZ Trojan
ZxxZ ట్రోజన్ అనేది మునుపు తెలియని మాల్వేర్ ముప్పు, ఇది బిట్టర్ ATP (అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్) గ్రూప్కు ఆపాదించబడిన హానికరమైన కార్యకలాపాలలో భాగంగా అమలు చేయబడుతోంది. ముప్పు గురించిన వివరాలు, అలాగే దాడి ప్రచారం గురించి సిస్కో టాలోస్ పరిశోధకులు ఒక నివేదికలో ప్రజలకు వెల్లడించారు. ZxxZ ట్రోజన్ యొక్క ప్రాథమిక లక్ష్యం బంగ్లాదేశ్ ప్రభుత్వం మరియు సంభావ్య లక్ష్యం సైబర్స్పియోనేజ్ మరియు డేటా చోరీ.
ఉల్లంఘించిన పరికరాలలో ముప్పు 32-బిట్ విండోస్ ఎక్జిక్యూటబుల్ ఫైల్గా పంపిణీ చేయబడుతుంది. ఇది అదనపు పాడైన మాడ్యూల్లను పొంది, ఆపై అమలు చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది. 'ntfsc.exe,' 'Update.exe,' మొదలైన వాటికి సారూప్యమైన సాధారణ పేర్లతో ఫైల్లుగా ఈ భాగాలు సోకిన మెషీన్లపై పడవేయబడతాయి. మాడ్యూల్స్ స్థానిక అప్లికేషన్ డేటా ఫోల్డర్లో నిల్వ చేయబడతాయి మరియు Windows సెక్యూరిటీ అప్డేట్గా అమలు చేయబడతాయి.
ZxxZ ట్రోజన్ అనేక యాంటీ-డిటెక్షన్ ఫీచర్లను కలిగి ఉంది, ఇందులో అస్పష్టమైన స్ట్రింగ్లు, విండోస్ డిఫెండర్ మరియు ఇతర యాంటీ-మాల్వేర్ సొల్యూషన్ల ప్రక్రియలను శోధించే మరియు చంపే సామర్థ్యం ఉన్నాయి. ఆ తర్వాత, ముప్పు సమాచార సేకరణ ఫంక్షన్ని సక్రియం చేస్తుంది. పొందిన డేటా ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్లకు ఎక్స్ఫిల్ట్ చేయబడే ముందు మెమరీ బఫర్లో నిల్వ చేయబడుతుంది. C2 సర్వర్ నుండి ప్రతిస్పందన పోర్టబుల్ ఎక్జిక్యూటబుల్ '%LOCALAPPDATA%\డీబగ్\' లొకేషన్లోకి డ్రాప్ చేయబడుతుంది. ఈ ఎక్జిక్యూటబుల్ డెలివరీ సమయంలో లోపం సంభవించినట్లయితే, ZxxZ ఆపివేసి నిష్క్రమించే ముందు సరిగ్గా 225 సార్లు ప్రక్రియను మళ్లీ ప్రయత్నిస్తుంది.
అని పరిశోధకులు గమనించాలి రెండు ఇన్ఫెక్షన్ చైన్లను కనుగొన్నారు, రెండు వెర్షన్లు స్పియర్-ఫిషింగ్ ఇమెయిల్తో ప్రారంభమవుతాయి. ఈ ఎర సందేశాలు పాకిస్తాన్ ప్రభుత్వ సంస్థల నుండి వచ్చే చట్టబద్ధమైన కరస్పాండెన్స్గా పాస్ చేయడానికి మోసపూరిత ఇమెయిల్ చిరునామాల వెనుక దాచబడ్డాయి. అయితే, ఆయుధ ఫైల్ జోడింపులు భిన్నంగా ఉండవచ్చు. ఒక సందర్భంలో, లూర్ ఇమెయిల్లు .RTF ఫైల్ను కలిగి ఉన్నాయి, అది CVE-2017-11882 హాని కలిగించే మైక్రోసాఫ్ట్ ఆఫీస్ వెర్షన్లతో రాజీపడే మెషీన్లను ఉపయోగించుకుంటుంది. దాడి గొలుసు యొక్క ఇతర వైవిధ్యం బదులుగా .XLSX పత్రాన్ని ఉపయోగిస్తుంది. ఈసారి, దాడి చేసేవారు CVE-2018-0798 మరియు CVE-2018-0802 దుర్బలత్వాలను ఉపయోగించుకుని, కాలం చెల్లిన Microsoft Office సందర్భాలలో రిమోట్ కోడ్ అమలును ట్రిగ్గర్ చేస్తారు.