ZxxZ Trojan

Sa pamamagitan ng CagedTech sa Trojans, Advanced Persistent Threat (APT)

Isalin To:

Ang ZxxZ Trojan ay isang hindi kilalang banta ng malware dati, na idini-deploy bilang bahagi ng mga mapaminsalang operasyon na nauugnay sa Bitter ATP (Advanced Persistent Threat) na pangkat. Ang mga detalye tungkol sa banta mismo, pati na rin ang kampanya sa pag-atake ay inihayag sa publiko sa isang ulat ng mga mananaliksik sa Cisco Talos. Ang pangunahing target ng ZxxZ Trojan ay ang gobyerno ng Bangladesh at ang malamang na layunin ay cyberespionage at pagnanakaw ng data.

Ang banta ay inihahatid bilang isang 32-bit na Windows executable file sa mga nalabag na device. Ito ay may kakayahang kumuha at pagkatapos ay magsagawa ng mga karagdagang sirang module. Ang mga bahaging ito ay ibinabagsak sa mga infected na makina bilang mga file na may mga generic na pangalan na katulad ng 'ntfsc.exe,' 'Update.exe,' atbp. Ang mga module ay naka-imbak sa lokal na folder ng data ng application at isinasagawa bilang isang update sa seguridad ng Windows.

Ang ZxxZ Trojan ay nilagyan ng ilang mga tampok na anti-detection, kabilang ang mga obfuscated string, ang kakayahang maghanap at patayin ang mga proseso ng Windows Defender at iba pang mga solusyon sa anti-malware. Pagkatapos, ang pagbabanta ay mag-a-activate ng isang function ng pangongolekta ng impormasyon. Ang nakuhang data ay iimbak sa isang memory buffer, bago i-exfiltrate sa Command-and-Control (C2) server ng operasyon. Ang tugon mula sa C2 server ay magiging isang portable executable na ibinaba sa '%LOCALAPPDATA%\Debug\' na lokasyon. Sa kaso ng isang error sa panahon ng paghahatid ng executable na ito, muling susubukan ng ZxxZ ang proseso nang eksaktong 225 beses bago huminto at lumabas.

Dapat pansinin na ang mga mananaliksik nakakita ng dalawang chain ng impeksyon, ang parehong bersyon ay nagsisimula sa isang spear-phishing na email. Ang mga mensaheng pang-akit na ito ay nakatago sa likod ng mga spoofed na email address upang maipasa bilang mga lehitimong sulat na nagmumula sa mga organisasyon ng gobyerno ng Pakistan. Gayunpaman, maaaring iba ang mga naka-armas na file attachment. Sa isang kaso, ang mga email na pang-akit ay may dalang .RTF file na nagsasamantala sa kahinaan ng CVE-2017-11882 upang ikompromiso ang mga makina na may mga masusugatan na bersyon ng Microsoft Office. Ang iba pang variation ng attack chain ay gumagamit ng isang .XLSX na dokumento sa halip. Sa pagkakataong ito, sinasamantala ng mga umaatake ang mga kahinaan ng CVE-2018-0798 at CVE-2018-0802 para ma-trigger ang remote code execution sa mga lumang Microsoft Office instance.

Paghahanap

Baguhin ang Rehiyon

ZxxZ Trojan

Magsumite ng Komento

Trending

Safe Search Eng

MyWallPaper

Grounding Conductor Ransomware

Pinaka Nanood

Ligtas ba ang Lookmovie.io?

DNS Unlocker

'Geek Squad' Email Scam