Ny ZxxZ-trojan som används av Bitter APT

Säkerhetsforskare har spårat en pågående skadlig kampanj riktad mot enheter i Bangladesh. Kampanjen har pågått sedan andra halvan av förra året och använder sig av en ny trojan kallad ZxxZ.

Forskare tillskriver den skadliga kampanjen Bitter APT även om Bitter tidigare hade riktat in sig på enheter i Kina, Saudiarabien och Pakistan. Kommando- och kontrollserverns infrastruktur visar tillräcklig överlappning för att ge "måttligt förtroende" för att den nya kampanjen också drivs av Bitter.

Kampanjen som sprider ZxxZ-trojanen riktar sig till högt uppsatta regeringstjänstemän i Balgladesh och använder beten relaterade till vanliga uppgifter som utförs i dessa avdelningar. Den skadliga bilagan i e-postmeddelandena är en kontorsfil som justerats för att starta ekvationsredigeraren och utnyttja den för att köra skalkod. De skadliga filerna missbrukar tre kända MS Office-sårbarheter.

När skalkoden körs, tar den tag i ZxxZ-nyttolasten från en fjärrserver och kör den. Skadlig programvara är skräddarsydd för att se ut som en säkerhetsuppdateringstjänst för Windows. ZxxZ ger sina operatörer funktioner för fjärrkörning av kod, vilket innebär att ytterligare skadlig programvara kan laddas ner på offrets system.

Allt detta gör ZxxZ till ett allvarligt hot för system som kör föråldrade MS Office-installationer. Trojanen kan leda till betydande problem för offret och öppna offer för datastöld och spionage.