Νέο ZxxZ Trojan που χρησιμοποιείται από την Bitter APT

Ερευνητές ασφαλείας παρακολουθούν μια συνεχιζόμενη κακόβουλη εκστρατεία που στοχεύει οντότητες που βρίσκονται στο Μπαγκλαντές. Η καμπάνια βρίσκεται σε εξέλιξη από το δεύτερο εξάμηνο του περασμένου έτους και χρησιμοποιεί ένα νέο Trojan με το όνομα ZxxZ.

Οι ερευνητές αποδίδουν την κακόβουλη εκστρατεία στο Bitter APT, παρόλο που το Bitter είχε στο παρελθόν στοχεύσει οντότητες στην Κίνα, τη Σαουδική Αραβία και το Πακιστάν. Η υποδομή διακομιστή εντολών και ελέγχου παρουσιάζει επαρκή επικάλυψη για να δώσει "μέτρια εμπιστοσύνη" ότι η νέα καμπάνια εκτελείται επίσης από την Bitter.

Η εκστρατεία διάδοσης του trojan ZxxZ στοχεύει υψηλόβαθμους κυβερνητικούς αξιωματούχους στο Balgladesh και χρησιμοποιεί δέλεαρ που σχετίζονται με τακτικά καθήκοντα που εκτελούνται σε αυτά τα τμήματα. Το κακόβουλο συνημμένο στα μηνύματα ηλεκτρονικού ταχυδρομείου είναι ένα αρχείο γραφείου που έχει τροποποιηθεί για να εκκινήσει το πρόγραμμα επεξεργασίας εξισώσεων και να το εκμεταλλευτεί για την εκτέλεση του shellcode. Τα κακόβουλα αρχεία καταχρώνται τρία γνωστά τρωτά σημεία του MS Office.

Μόλις εκτελεστεί ο shellcode, αρπάζει το ωφέλιμο φορτίο ZxxZ από έναν απομακρυσμένο διακομιστή και τον εκτελεί. Το κακόβουλο λογισμικό είναι προσαρμοσμένο ώστε να εμφανίζεται σαν υπηρεσία ενημέρωσης ασφαλείας των Windows. Το ZxxZ παρέχει στους χειριστές του δυνατότητες απομακρυσμένης εκτέλεσης κώδικα, πράγμα που σημαίνει ότι μπορεί να γίνει λήψη περαιτέρω κακόβουλου λογισμικού στο σύστημα του θύματος.

Όλα αυτά καθιστούν το ZxxZ σοβαρή απειλή για συστήματα που εκτελούν παλιές εγκαταστάσεις MS Office. Το trojan μπορεί να οδηγήσει σε σημαντικά ζητήματα για το θύμα και να ανοίξει τα θύματα για κλοπή δεδομένων και κατασκοπεία.