Nowy trojan ZxxZ używany przez Bitter APT

Badacze bezpieczeństwa śledzą trwającą złośliwą kampanię wymierzoną w podmioty zlokalizowane w Bangladeszu. Kampania trwa od drugiej połowy ubiegłego roku i wykorzystuje nowego trojana nazwanego ZxxZ.

Naukowcy przypisują złośliwą kampanię Bitter APT, mimo że Bitter wcześniej atakował podmioty w Chinach, Arabii Saudyjskiej i Pakistanie. Infrastruktura serwerów dowodzenia i kontroli wykazuje wystarczające nakładanie się, aby dać „umiarkowaną pewność”, że nowa kampania jest również prowadzona przez Bitter.

Kampania rozpowszechniająca trojana ZxxZ jest wymierzona w wysoko postawionych urzędników państwowych w Balgladesh i wykorzystuje przynęty związane z regularnymi zadaniami wykonywanymi w tych departamentach. Złośliwy załącznik w wiadomościach e-mail to plik biurowy zmodyfikowany w celu uruchomienia edytora równań i wykorzystania go do uruchomienia szelkodu. Złośliwe pliki wykorzystują trzy znane luki MS Office.

Po wykonaniu szelkodu pobiera on ładunek ZxxZ ze zdalnego serwera i uruchamia go. Złośliwe oprogramowanie jest dostosowane tak, aby wyglądało jak usługa aktualizacji zabezpieczeń systemu Windows. ZxxZ daje swoim operatorom możliwość zdalnego wykonywania kodu, co oznacza, że do systemu ofiary można pobrać dalsze szkodliwe oprogramowanie.

Wszystko to sprawia, że ZxxZ stanowi poważne zagrożenie dla systemów z przestarzałymi instalacjami pakietu MS Office. Trojan może prowadzić do poważnych problemów dla ofiar i narażać ofiary na kradzież danych i szpiegostwo.