ZxxZ Trojan

Троян ZxxZ — це раніше невідома загроза зловмисного програмного забезпечення, яка розгортається як частина шкідливих операцій, що належать до групи Bitter ATP (Advanced Persistent Threat). Деталі про саму загрозу, а також кампанію атаки були розкриті громадськості у звіті дослідників Cisco Talos. Основною метою трояна ZxxZ є уряд Бангладеш, імовірною метою є кібершпигунство та крадіжка даних.

Загроза передається у вигляді 32-розрядного виконуваного файлу Windows на зламаних пристроях. Він здатний отримати, а потім виконати додаткові пошкоджені модулі. Ці компоненти передаються на інфіковані машини у вигляді файлів із загальними іменами, подібними до «ntfsc.exe», «Update.exe» тощо. Модулі зберігаються в папці даних локальної програми та виконуються як оновлення безпеки Windows.

Троян ZxxZ оснащений кількома функціями антивиявлення, включаючи заплутані рядки, можливість шукати та вбивати процеси Windows Defender та інші рішення для захисту від шкідливих програм. Після цього загроза активує функцію збору інформації. Отримані дані зберігатимуться в буфері пам’яті перед тим, як передаватись на сервери командування та керування (C2) операції. Відповіддю від сервера C2 буде переносний виконуваний файл, переміщений у розташування "%LOCALAPPDATA%\Debug\". У разі помилки під час доставки цього виконуваного файлу ZxxZ повторить процес рівно 225 разів, перш ніж зупинитися та вийти.

Слід зазначити, що дослідники виявлено два ланцюга зараження, обидві версії починаються з фішингового листа. Ці спокусливі повідомлення приховані за підробленими адресами електронної пошти, щоб передати їх як законну кореспонденцію, що надходить від урядових організацій Пакистану. Однак вкладені файли з озброєнням можуть бути різними. В одному випадку електронні листи з приманкою містили файл .RTF, який використовує вразливість CVE-2017-11882 для компрометації машин із вразливими версіями Microsoft Office. Натомість інший варіант ланцюга атаки використовує документ .XLSX. Цього разу зловмисники використовують уразливості CVE-2018-0798 і CVE-2018-0802, щоб ініціювати віддалене виконання коду в застарілих екземплярах Microsoft Office.