苦いAPTによって使用される新しいZxxZトロイの木馬
セキュリティ研究者は、バングラデシュにあるエンティティを標的とした進行中の悪意のあるキャンペーンを追跡しています。キャンペーンは昨年の後半から進行中であり、ZxxZと呼ばれる新しいトロイの木馬を利用しています。
ビターが以前は中国、サウジアラビア、パキスタンの実体を標的にしていたにもかかわらず、研究者たちは悪意のあるキャンペーンをビターAPTに帰している。コマンドアンドコントロールサーバーインフラストラクチャは、新しいキャンペーンもBitterによって実行されているという「中程度の自信」を与えるのに十分な重複を示しています。
ZxxZトロイの木馬を広めるキャンペーンは、バルグラデシュの政府高官を対象としており、これらの部門で実行される通常のタスクに関連するルアーを使用しています。電子メールの悪意のある添付ファイルは、数式エディタを起動し、それを悪用してシェルコードを実行するように調整されたオフィスファイルです。悪意のあるファイルは、3つの既知のMSOfficeの脆弱性を悪用します。
シェルコードが実行されると、リモートサーバーからZxxZペイロードを取得して実行します。このマルウェアは、Windowsのセキュリティ更新サービスのように見えるように調整されています。 ZxxZは、オペレーターにリモートコード実行機能を提供します。これは、被害者のシステムにさらにマルウェアをダウンロードできることを意味します。
これらすべてにより、ZxxZは古いMSOfficeインストールを実行しているシステムにとって深刻な脅威になります。トロイの木馬は、被害者にかなりの問題を引き起こし、被害者をデータの盗難やスパイ行為にさらす可能性があります。