ZxxZ Trojan
ZxxZ 特洛伊木馬是一種以前未知的惡意軟件威脅,它被部署為歸屬於 Bitter ATP(高級持續威脅)組的有害操作的一部分。 Cisco Talos 的研究人員在一份報告中向公眾披露了有關威脅本身以及攻擊活動的詳細信息。 ZxxZ 木馬的主要目標是孟加拉國政府,可能的目標是網絡間諜活動和數據盜竊。
威脅以 32 位 Windows 可執行文件的形式在被破壞的設備上傳遞。它能夠獲取然後執行其他損壞的模塊。這些組件作為通用名稱類似於“ntfsc.exe”、“Update.exe”等的文件被丟棄在受感染的計算機上。這些模塊存儲在本地應用程序數據文件夾中,並作為 Windows 安全更新執行。
ZxxZ 木馬配備了多種反檢測功能,包括混淆字符串、搜索和殺死 Windows Defender 進程的能力以及其他反惡意軟件解決方案。之後,威脅將激活信息收集功能。獲取的數據將存儲在內存緩衝區中,然後被洩露到操作的命令和控制 (C2) 服務器。來自 C2 服務器的響應將是一個可移植的可執行文件,該可執行文件被放入“%LOCALAPPDATA%\Debug\”位置。如果在交付此可執行文件期間出現錯誤,ZxxZ 將在停止和退出之前重試該過程 225 次。
需要注意的是,研究人員 發現了兩個感染鏈,兩個版本都以魚叉式網絡釣魚電子郵件開頭。這些引誘信息隱藏在欺騙性電子郵件地址後面,作為來自巴基斯坦政府組織的合法信件傳遞。但是,武器化的文件附件可能會有所不同。在一個案例中,誘餌電子郵件帶有一個 .RTF 文件,該文件利用 CVE-2017-11882 漏洞來破壞具有易受攻擊的 Microsoft Office 版本的計算機。攻擊鏈的另一種變體使用 .XLSX 文檔。這一次,攻擊者利用 CVE-2018-0798 和 CVE-2018-0802 漏洞在過時的 Microsoft Office 實例中觸發遠程代碼執行。
