Threat Database Trojans ZxxZ Trojan

ZxxZ Trojan

ZxxZ 特洛伊木马是一种以前未知的恶意软件威胁,它被部署为归属于 Bitter ATP(高级持续威胁)组的有害操作的一部分。 Cisco Talos 的研究人员在一份报告中向公众披露了有关威胁本身以及攻击活动的详细信息。 ZxxZ 木马的主要目标是孟加拉国政府,可能的目标是网络间谍活动和数据盗窃。

威胁以 32 位 Windows 可执行文件的形式在被破坏的设备上传递。它能够获取然后执行其他损坏的模块。这些组件作为通用名称类似于“ntfsc.exe”、“Update.exe”等的文件被丢弃在受感染的计算机上。这些模块存储在本地应用程序数据文件夹中,并作为 Windows 安全更新执行。

ZxxZ 木马配备了多种反检测功能,包括混淆字符串、搜索和杀死 Windows Defender 进程的能力以及其他反恶意软件解决方案。之后,威胁将激活信息收集功能。获取的数据将存储在内存缓冲区中,然后被泄露到操作的命令和控制 (C2) 服务器。来自 C2 服务器的响应将是一个可移植的可执行文件,该可执行文件被放入“%LOCALAPPDATA%\Debug\”位置。如果在交付此可执行文件期间出现错误,ZxxZ 将在停止和退出之前重试该过程 225 次。

需要注意的是,研究人员 发现了两个感染链,两个版本都以鱼叉式网络钓鱼电子邮件开头。这些引诱信息隐藏在欺骗性电子邮件地址后面,作为来自巴基斯坦政府组织的合法信件传递。但是,武器化的文件附件可能会有所不同。在一个案例中,诱饵电子邮件带有一个 .RTF 文件,该文件利用 CVE-2017-11882 漏洞来破坏具有易受攻击的 Microsoft Office 版本的计算机。攻击链的另一种变体使用 .XLSX 文档。这一次,攻击者利用 CVE-2018-0798 和 CVE-2018-0802 漏洞在过时的 Microsoft Office 实例中触发远程代码执行。

趋势

最受关注

正在加载...