Новый троянец ZxxZ, используемый Bitter APT

Исследователи безопасности отслеживают текущую вредоносную кампанию, нацеленную на объекты, расположенные в Бангладеш. Кампания ведется со второй половины прошлого года и использует новый троянец ZxxZ.

Исследователи приписывают вредоносную кампанию Bitter APT, несмотря на то, что Bitter ранее был нацелен на организации в Китае, Саудовской Аравии и Пакистане. Инфраструктура серверов управления и контроля показывает достаточное совпадение, чтобы дать «умеренную уверенность» в том, что новая кампания также проводится Bitter.

Кампания по распространению трояна ZxxZ нацелена на высокопоставленных правительственных чиновников в Балгладеш и использует приманки, связанные с регулярными задачами, выполняемыми в этих ведомствах. Вредоносное вложение в электронных письмах представляет собой офисный файл, настроенный для запуска редактора формул и использования его для запуска шелл-кода. Вредоносные файлы используют три известные уязвимости MS Office.

После выполнения шелл-код получает полезную нагрузку ZxxZ с удаленного сервера и запускает ее. Вредоносная программа выглядит как служба обновления безопасности Windows. ZxxZ предоставляет своим операторам возможность удаленного выполнения кода, а это означает, что в систему-жертву можно загрузить дополнительные вредоносные программы.

Все это делает ZxxZ серьезной угрозой для систем с устаревшими установками MS Office. Троян может создать серьезные проблемы для жертвы и открыть жертву для кражи данных и шпионажа.