Bitter APT 使用的新 ZxxZ 木馬
安全研究人員一直在跟踪針對孟加拉國實體的持續惡意活動。該活動自去年下半年以來一直在進行,並利用了一種名為 ZxxZ 的新木馬。
研究人員將惡意活動歸因於 Bitter APT,儘管 Bitter 此前一直針對中國、沙特阿拉伯和巴基斯坦的實體。命令和控制服務器基礎設施顯示出足夠的重疊,以“適度相信”新活動也由 Bitter 運行。
傳播 ZxxZ 特洛伊木馬的活動針對的是巴爾格拉德什的高級政府官員,並使用與這些部門執行的常規任務相關的誘餌。電子郵件中的惡意附件是一個辦公室文件,經過調整以啟動方程式編輯器並利用它來運行 shellcode。惡意文件濫用三個已知的 MS Office 漏洞。
一旦 shellcode 執行,它就會從遠程服務器上抓取 ZxxZ 有效負載並運行它。該惡意軟件經過定制,看起來像 Windows 安全更新服務。 ZxxZ 為其操作員提供遠程代碼執行功能,這意味著可以在受害系統上下載更多惡意軟件。
所有這些都使 ZxxZ 對運行過時的 MS Office 安裝的系統構成嚴重威脅。該木馬可能會給受害者帶來相當大的問題,並使受害者面臨數據盜竊和間諜活動的風險。
May 18, 2022
