ZxxZ Trojan

โทรจัน ZxxZ เป็นภัยคุกคามมัลแวร์ที่ไม่รู้จักก่อนหน้านี้ ซึ่งถูกนำไปใช้เป็นส่วนหนึ่งของการดำเนินการที่เป็นอันตรายซึ่งเกิดจากกลุ่ม Bitter ATP (Advanced Persistent Threat) นักวิจัยของ Cisco Talos ได้เปิดเผยรายละเอียดเกี่ยวกับตัวภัยคุกคามและแคมเปญการโจมตีต่อสาธารณะ เป้าหมายหลักของโทรจัน ZxxZ คือรัฐบาลบังคลาเทศ และเป้าหมายที่เป็นไปได้คือการจารกรรมทางอินเทอร์เน็ตและการขโมยข้อมูล

ภัยคุกคามถูกส่งเป็นไฟล์ปฏิบัติการ Windows แบบ 32 บิตบนอุปกรณ์ที่ถูกละเมิด สามารถดึงข้อมูลและเรียกใช้โมดูลที่เสียหายเพิ่มเติมได้ ส่วนประกอบเหล่านี้จะหายไปในเครื่องที่ติดไวรัสเป็นไฟล์ที่มีชื่อทั่วไปคล้ายกับ 'ntfsc.exe', 'Update.exe' ฯลฯ โมดูลจะถูกเก็บไว้ในโฟลเดอร์ข้อมูลแอปพลิเคชันในเครื่องและดำเนินการเป็นการอัปเดตความปลอดภัยของ Windows

โทรจัน ZxxZ มีคุณสมบัติป้องกันการตรวจจับหลายอย่าง รวมถึงสตริงที่สับสน ความสามารถในการค้นหาและฆ่ากระบวนการของ Windows Defender และโซลูชันป้องกันมัลแวร์อื่นๆ หลังจากนั้น ภัยคุกคามจะเปิดใช้งานฟังก์ชันรวบรวมข้อมูล ข้อมูลที่ได้มาจะถูกเก็บไว้ในบัฟเฟอร์หน่วยความจำ ก่อนที่จะถูกแยกไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ของการดำเนินการ การตอบสนองจากเซิร์ฟเวอร์ C2 จะเป็นไฟล์ปฏิบัติการแบบพกพาที่ทิ้งลงในตำแหน่ง '%LOCALAPPDATA%\Debug\' ในกรณีที่มีข้อผิดพลาดในระหว่างการส่งไฟล์เรียกทำงานนี้ ZxxZ จะลองดำเนินการอีกครั้ง 225 ครั้งก่อนที่จะหยุดและออก

ควรสังเกตว่านักวิจัย พบสายการติดไวรัสสองสาย ทั้งสองเวอร์ชันเริ่มต้นด้วยอีเมลหลอกลวงแบบฟิชชิ่ง ข้อความหลอกลวงเหล่านี้ซ่อนอยู่หลังที่อยู่อีเมลปลอมเพื่อส่งต่อ เนื่องจากเป็นการติดต่อที่ถูกต้องตามกฎหมายที่มาจากองค์กรรัฐบาลของปากีสถาน อย่างไรก็ตาม ไฟล์แนบที่ติดอาวุธอาจแตกต่างกัน ในกรณีหนึ่ง อีเมลหลอกลวงมีไฟล์ .RTF ซึ่งใช้ช่องโหว่ CVE-2017-11882 เพื่อประนีประนอมกับเครื่องที่มีเวอร์ชัน Microsoft Office ที่มีช่องโหว่ รูปแบบอื่นของห่วงโซ่การโจมตีใช้เอกสาร .XLSX แทน ในครั้งนี้ ผู้โจมตีใช้ประโยชน์จากช่องโหว่ CVE-2018-0798 และ CVE-2018-0802 เพื่อทริกเกอร์การเรียกใช้โค้ดจากระยะไกลในอินสแตนซ์ Microsoft Office ที่ล้าสมัย