Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Trojans ZxxZ Trojan

ZxxZ Trojan

Đến năm CagedTech năm Trojans, Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

ZxxZ Trojan là một mối đe dọa phần mềm độc hại chưa từng biết trước đây, đang được triển khai như một phần của các hoạt động có hại do nhóm Bitter ATP (Mối đe dọa liên tục nâng cao) gây ra. Thông tin chi tiết về mối đe dọa, cũng như chiến dịch tấn công đã được tiết lộ cho công chúng trong một báo cáo của các nhà nghiên cứu tại Cisco Talos. Mục tiêu chính của ZxxZ Trojan là chính phủ Bangladesh và mục tiêu có thể là gián điệp mạng và đánh cắp dữ liệu.

Mối đe dọa được gửi dưới dạng tệp thực thi Windows 32 bit trên các thiết bị bị vi phạm. Nó có khả năng tìm nạp và sau đó thực thi các mô-đun bị hỏng bổ sung. Các thành phần này sẽ bị loại bỏ trên các máy bị nhiễm dưới dạng tệp có tên chung tương tự như 'ntfsc.exe,' 'Update.exe', v.v. Các mô-đun được lưu trữ trong thư mục dữ liệu ứng dụng cục bộ và được thực thi dưới dạng bản cập nhật bảo mật Windows.

ZxxZ Trojan được trang bị một số tính năng chống phát hiện, bao gồm các chuỗi bị xáo trộn, khả năng tìm kiếm và tiêu diệt các quy trình của Bộ bảo vệ Windows và các giải pháp chống phần mềm độc hại khác. Sau đó, mối đe dọa sẽ kích hoạt chức năng thu thập thông tin. Dữ liệu thu được sẽ được lưu trữ trong bộ đệm bộ nhớ, trước khi được chuyển sang máy chủ Command-and-Control (C2) của hoạt động. Phản hồi từ máy chủ C2 sẽ là một tệp thực thi di động được thả vào vị trí '% LOCALAPPDATA% \ Debug \'. Trong trường hợp xảy ra lỗi trong quá trình phân phối tệp thực thi này, ZxxZ sẽ thử lại quá trình chính xác 225 lần trước khi dừng và thoát.

Cần lưu ý rằng các nhà nghiên cứu đã tìm thấy hai chuỗi lây nhiễm, cả hai phiên bản đều bắt đầu bằng một email lừa đảo trực tuyến. Những tin nhắn dụ dỗ này được ẩn sau các địa chỉ email giả mạo để chuyển qua dưới dạng thư từ hợp pháp đến từ các tổ chức chính phủ Pakistan. Tuy nhiên, các tệp đính kèm được vũ khí hóa có thể khác. Trong một trường hợp, các email dụ có chứa tệp .RTF khai thác lỗ hổng CVE-2017-11882 để xâm nhập các máy có phiên bản Microsoft Office dễ bị tấn công. Thay vào đó, biến thể khác của chuỗi tấn công sử dụng tài liệu .XLSX. Lần này, những kẻ tấn công lợi dụng các lỗ hổng CVE-2018-0798 và CVE-2018-0802 để kích hoạt thực thi mã từ xa trong các phiên bản Microsoft Office lỗi thời.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,356
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...