nccTrojan

تم استخدام تهديد nccTrojan في سلسلة من الهجمات يعتقد أنها نفذتها مجموعة APT (التهديد المستمر المتقدم) المدعومة من الصين والمعروفة باسم TA428. يستهدف مجرمو الإنترنت المؤسسات العسكرية والمؤسسات العامة الموجودة في العديد من دول أوروبا الشرقية وأفغانستان. يبدو أن الهدف من حملات التهديد هو جمع البيانات والتجسس الإلكتروني ، مع قيام الجهات الفاعلة في التهديد بإسقاط ستة تهديدات برمجيات خبيثة مختلفة على الأجهزة المخترقة.

يتم الوصول الأولي إلى الأجهزة من خلال حملات التصيد الاحتيالي عالية الاستهداف. يصنع المتسللون TA428 رسائل بريد إلكتروني جذابة مخصصة لاستخدامها ضد مؤسسات معينة. تحتوي بعض رسائل البريد الإلكتروني المخادعة على معلومات سرية أو خاصة غير متاحة للجمهور. عندما ينفذ الضحايا مستندات Word المُسلَّحة المرفقة برسائل البريد الإلكتروني المغرية ، فإنه يؤدي إلى تشغيل رمز تالف يستغل الثغرة الأمنية CVE-2017-11882. تم نشر تفاصيل الهجمات والترسانة المؤذية للمتسللين في تقرير بباحثين أمنيين.

تحليل nccTrojan

تم بالفعل نسب البرنامج الضار nccTrojan إلى TA428. في الواقع ، يبدو أن التهديد تم تطويره بنشاط من قبل المهاجمين. يبدأ تثبيت التهديد على الجهاز الذي تم اختراقه بتنزيل العديد من الملفات من خادم الأوامر والتحكم (C2، C&C). يتم تسليم الملف القابل للتنفيذ في شكل ملف .cab باسم عشوائي. هناك حاجة إلى أداة توسيع النظام لفك ضغط الملف الذي تم تسليمه إلى دليل موجود ينتمي إلى منتج برنامج شرعي. بالإضافة إلى ذلك ، يقوم المتسللون أيضًا بإسقاط مكون مثبت خاص مكلف بتسجيل DLL nccTrojan كخدمة. يضمن القيام بذلك تحميل التهديد تلقائيًا عند كل بدء تشغيل للنظام.

بعد أن تصبح نشطة ، ستحاول الوحدة الرئيسية لـ nccTrojan إنشاء اتصال بقائمة عناوين C2 المشفرة. سيتم إرسال جميع الاتصالات اللاحقة إلى الخادم الذي يستجيب أولاً. أثناء الاتصال الأولي ، يرسل التهديد أيضًا معلومات عامة مختلفة حول النظام الذي تم اختراقه ، مثل اسم الكمبيوتر وعنوان IP واسم المستخدم وإصدار البرامج الضارة وبيانات تعريب النظام والمزيد. يوفر nccTrojan أيضًا للمهاجمين وظائف الباب الخلفي ، والقدرة على تنفيذ الأوامر ، وتشغيل الملفات القابلة للتنفيذ ، وقتل عمليات التحديد ، والتلاعب في نظام الملفات ، وجلب الحمولات الإضافية من C2 والمزيد.