Nieuwe ZxxZ Trojan gebruikt door Bitter APT

Beveiligingsonderzoekers hebben een lopende kwaadaardige campagne gevolgd die gericht was op entiteiten in Bangladesh. De campagne is aan de gang sinds de tweede helft van vorig jaar en maakt gebruik van een nieuwe Trojan genaamd ZxxZ.

Onderzoekers schrijven de kwaadaardige campagne toe aan de Bitter APT, hoewel Bitter zich eerder had gericht op entiteiten in China, Saoedi-Arabië en Pakistan. De command-and-control serverinfrastructuur vertoont voldoende overlap om "gematigd vertrouwen" te geven dat de nieuwe campagne ook door Bitter wordt gerund.

De campagne die de ZxxZ-trojan verspreidt, is gericht op hooggeplaatste overheidsfunctionarissen in Balgladesh en maakt gebruik van kunstaas dat verband houdt met reguliere taken die in die afdelingen worden uitgevoerd. De kwaadaardige bijlage in de e-mails is een kantoorbestand dat is aangepast om de vergelijkingseditor te starten en deze te misbruiken om shellcode uit te voeren. De kwaadaardige bestanden misbruiken drie bekende MS Office-kwetsbaarheden.

Zodra de shellcode wordt uitgevoerd, haalt deze de ZxxZ-payload van een externe server en voert deze uit. De malware is op maat gemaakt om eruit te zien als een Windows-beveiligingsupdateservice. ZxxZ geeft zijn operators mogelijkheden om code op afstand uit te voeren, wat betekent dat verdere malware op het slachtoffersysteem kan worden gedownload.

Dit alles maakt ZxxZ een serieuze bedreiging voor systemen met verouderde MS Office-installaties. De trojan kan leiden tot aanzienlijke problemen voor het slachtoffer en slachtoffers blootstellen aan gegevensdiefstal en spionage.