A Bitter APT által használt új ZxxZ trójai

A biztonsági kutatók egy folyamatban lévő rosszindulatú kampányt követtek nyomon, amely Bangladesben található entitásokat céloz meg. A kampány a tavalyi év második fele óta zajlik, és egy új, ZxxZ névre keresztelt trójai programot használ.

A kutatók a rosszindulatú kampányt a Bitter APT-nek tulajdonítják, annak ellenére, hogy a Bitter korábban Kínában, Szaúd-Arábiában és Pakisztánban volt célpontja. A parancs- és vezérlőkiszolgáló infrastruktúra elegendő átfedést mutat ahhoz, hogy "mérsékelt magabiztosságot" adjon afelől, hogy az új kampányt is a Bitter futtatja.

A ZxxZ trójai programot terjesztő kampány magas rangú balgladesi kormányzati tisztviselőket céloz meg, és az ezeken a részlegeken végzett szokásos feladatokhoz kapcsolódó csalikat használ. Az e-mailekben található rosszindulatú melléklet egy irodai fájl, amelyet úgy módosítottak, hogy elindítsa az egyenletszerkesztőt, és kihasználja azt a shellkód futtatására. A rosszindulatú fájlok visszaélnek az MS Office három ismert sebezhetőségével.

Amint a shellkód lefut, lefoglalja a ZxxZ rakományt egy távoli szerverről, és futtatja. A rosszindulatú program úgy lett kialakítva, hogy Windows biztonsági frissítési szolgáltatásként jelenjen meg. A ZxxZ távoli kódvégrehajtási lehetőségeket biztosít kezelőinek, ami azt jelenti, hogy további kártevők is letölthetők az áldozat rendszerére.

Mindezek miatt a ZxxZ komoly fenyegetést jelent az elavult MS Office-telepítéseket futtató rendszerek számára. A trójai jelentős problémákat okozhat az áldozat számára, és feltárhatja az áldozatokat adatlopás és kémkedés előtt.