ZxxZ Trojan

ZxxZトロイの木馬は、これまで知られていなかったマルウェアの脅威であり、Bitter ATP（Advanced Persistent Threat）グループに起因する有害な操作の一部として展開されています。 Cisco Talosの研究者によるレポートでは、脅威自体と攻撃キャンペーンの詳細が一般に公開されました。 ZxxZトロイの木馬の主な標的はバングラデシュ政府であり、可能性のある目標はサイバースパイとデータの盗難です。

脅威は、侵害されたデバイス上で32ビットのWindows実行可能ファイルとして配信されます。追加の破損したモジュールをフェッチして実行することができます。これらのコンポーネントは、「ntfsc.exe」、「Update.exe」などの一般的な名前のファイルとして感染したマシンにドロップされます。モジュールはローカルアプリケーションデータフォルダに保存され、Windowsセキュリティアップデートとして実行されます。

ZxxZトロイの木馬は、難読化された文字列、Windows Defenderのプロセスを検索して強制終了する機能、その他のマルウェア対策ソリューションなど、いくつかの検出防止機能を備えています。その後、脅威は情報収集機能をアクティブにします。取得したデータは、操作のコマンドアンドコントロール（C2）サーバーに転送される前に、メモリバッファに保存されます。 C2サーバーからの応答は、「％LOCALAPPDATA％\Debug\」の場所にドロップされたポータブル実行可能ファイルになります。この実行可能ファイルの配信中にエラーが発生した場合、ZxxZはプロセスを正確に225回再試行してから、停止して終了します。

研究者は注意する必要があります 2つの感染チェーンが見つかりました。どちらのバージョンもスピアフィッシングメールで始まります。これらのルアーメッセージは、パキスタンの政府機関からの正当な通信として渡されるように、なりすましの電子メールアドレスの背後に隠されています。ただし、武器化されたファイルの添付ファイルは異なる場合があります。あるケースでは、ルアーメールに.RTFファイルが含まれており、CVE-2017-11882の脆弱性を悪用して、脆弱なMicrosoftOfficeバージョンのマシンを危険にさらしています。攻撃チェーンの他のバリエーションは、代わりに.XLSXドキュメントを利用します。今回、攻撃者はCVE-2018-0798およびCVE-2018-0802の脆弱性を利用して、古いMicrosoftOfficeインスタンスでリモートコード実行をトリガーします。