ZxxZ Trojan

ZxxZ Truva Atı, Bitter ATP (Gelişmiş Kalıcı Tehdit) grubuna atfedilen zararlı operasyonların bir parçası olarak dağıtılan, önceden bilinmeyen bir kötü amaçlı yazılım tehdididir. Tehdidin kendisi ve saldırı kampanyasıyla ilgili ayrıntılar, Cisco Talos'taki araştırmacılar tarafından hazırlanan bir raporda halka açıklandı. ZxxZ Truva Atı'nın birincil hedefi Bangladeş hükümetidir ve olası hedef siber casusluk ve veri hırsızlığıdır.

Tehdit, ihlal edilen cihazlarda 32 bit Windows yürütülebilir dosyası olarak teslim edilir. Ek bozuk modülleri getirip çalıştırabilir. Bu bileşenler, 'ntfsc.exe', 'Update.exe' vb. gibi genel adlara sahip dosyalar olarak virüslü makinelere bırakılır. Modüller yerel uygulama veri klasöründe depolanır ve bir Windows güvenlik güncellemesi olarak yürütülür.

ZxxZ Truva Atı, karıştırılmış dizeler, Windows Defender işlemlerini arama ve öldürme yeteneği ve diğer kötü amaçlı yazılımdan koruma çözümleri dahil olmak üzere çeşitli algılama önleme özellikleriyle donatılmıştır. Ardından tehdit, bilgi toplama işlevini etkinleştirir. Alınan veriler, operasyonun Komuta ve Kontrol (C2) sunucularına aktarılmadan önce bir bellek arabelleğinde saklanacaktır. C2 sunucusundan gelen yanıt, '%LOCALAPPDATA%\Debug\' konumuna bırakılan taşınabilir bir yürütülebilir dosya olacaktır. Bu yürütülebilir dosyanın teslimi sırasında bir hata olması durumunda, ZxxZ durup çıkmadan önce işlemi tam olarak 225 kez yeniden deneyecektir.

Unutulmamalıdır ki, araştırmacılar iki enfeksiyon zinciri buldu, her iki sürüm de hedef odaklı kimlik avı e-postasıyla başlıyor. Bu cazibe mesajları, Pakistan devlet kuruluşlarından gelen meşru yazışmalar olarak geçmek için sahte e-posta adreslerinin arkasına gizlenmiştir. Ancak, silahlandırılmış dosya ekleri farklı olabilir. Bir durumda, cazibeli e-postalar, savunmasız Microsoft Office sürümlerine sahip makinelerin güvenliğini aşmak için CVE-2017-11882 güvenlik açığından yararlanan bir .RTF dosyası taşıyordu. Saldırı zincirinin diğer varyasyonu, bunun yerine bir .XLSX belgesi kullanır. Bu kez saldırganlar, güncel olmayan Microsoft Office örneklerinde uzaktan kod yürütülmesini tetiklemek için CVE-2018-0798 ve CVE-2018-0802 güvenlik açıklarından yararlanıyor.