Bitter APT 使用的新 ZxxZ 木马
安全研究人员一直在跟踪针对孟加拉国实体的持续恶意活动。该活动自去年下半年以来一直在进行,并利用了一种名为 ZxxZ 的新木马。
研究人员将恶意活动归因于 Bitter APT,尽管 Bitter 此前一直针对中国、沙特阿拉伯和巴基斯坦的实体。命令和控制服务器基础设施显示出足够的重叠,以“适度相信”新活动也由 Bitter 运行。
传播 ZxxZ 特洛伊木马的活动针对的是巴尔格拉德什的高级政府官员,并使用与这些部门执行的常规任务相关的诱饵。电子邮件中的恶意附件是一个经过调整的办公文件,用于启动方程式编辑器并利用它来运行 shellcode。恶意文件滥用三个已知的 MS Office 漏洞。
一旦 shellcode 执行,它就会从远程服务器上抓取 ZxxZ 有效负载并运行它。该恶意软件经过定制,看起来像 Windows 安全更新服务。 ZxxZ 为其操作员提供远程代码执行功能,这意味着可以在受害系统上下载更多恶意软件。
所有这些都使 ZxxZ 对运行过时的 MS Office 安装的系统构成严重威胁。该木马可能会给受害者带来相当大的问题,并使受害者面临数据盗窃和间谍活动的风险。