Naujas ZxxZ Trojos arklys, naudojamas Bitter APT

Saugumo tyrinėtojai seka besitęsiančią kenkėjišką kampaniją, nukreiptą į subjektus, esančius Bangladeše. Kampanija vykdoma nuo praėjusių metų antrosios pusės ir joje naudojamas naujas Trojos arklys, pavadintas ZxxZ.

Tyrėjai piktybišką kampaniją priskiria Bitter APT, nors anksčiau Bitter buvo nukreipta į subjektus Kinijoje, Saudo Arabijoje ir Pakistane. Komandų ir valdymo serverio infrastruktūra pakankamai sutampa, kad suteiktų „vidutinį pasitikėjimą“, kad naują kampaniją taip pat vykdo Bitter.

Kampanija, skleidžianti Trojos arklys ZxxZ, yra skirta aukšto rango vyriausybės pareigūnams Balgladeše ir naudoja masalus, susijusius su įprastomis tuose departamentuose atliekamomis užduotimis. Kenkėjiškas priedas el. laiškuose yra biuro failas, pritaikytas paleisti lygčių rengyklę ir išnaudoti ją paleisti apvalkalo kodą. Kenkėjiškuose failuose piktnaudžiaujama trimis žinomais MS Office pažeidžiamumais.

Kai apvalkalo kodas vykdomas, jis paima ZxxZ naudingąjį apkrovą iš nuotolinio serverio ir paleidžia jį. Kenkėjiška programa sukurta taip, kad atrodytų kaip „Windows“ saugos naujinimo paslauga. „ZxxZ“ suteikia savo operatoriams nuotolinio kodo vykdymo galimybes, o tai reiškia, kad į aukų sistemą galima atsisiųsti daugiau kenkėjiškų programų.

Dėl viso to ZxxZ kelia rimtą grėsmę sistemoms, kuriose įdiegiami pasenę MS Office diegimai. Trojos arklys gali sukelti didelių problemų aukai ir atverti aukas duomenų vagystei ir šnipinėjimui.