NccTrojan

Заплахата nccTrojan е използвана в поредица от атаки, за които се смята, че са извършени от подкрепяна от Китай APT (Advanced Persistent Threat) група, известна като TA428. Киберпрестъпниците са насочени към военни предприятия и обществени институции, разположени в няколко източноевропейски страни и Афганистан. Целта на заплашващите кампании изглежда е събиране на данни и кибершпионаж, като участниците в заплахата пускат шест различни заплахи за злонамерен софтуер на пробитите машини.

Първоначалният достъп до устройствата се постига чрез силно насочени фишинг кампании. Хакерите на TA428 създават персонализирани примамливи имейли, които да бъдат използвани срещу конкретни организации. Някои фишинг имейли дори съдържаха поверителна или лична информация, която не е публично достъпна. Когато жертвите изпълнят въоръжените документи на Word, прикачени към примамливите имейли, това задейства повреден код, използващ уязвимостта CVE-2017-11882. Подробности за атаките и пагубния арсенал на хакерите бяха публикувани в доклад на изследователи по сигурността.

Анализ на nccTrojan

Зловреден софтуер nccTrojan вече е приписан на TA428. Всъщност изглежда, че заплахата се развива активно от нападателите. Инсталирането на заплахата върху нарушеното устройство започва с изтеглянето на няколко файла от сървъра за командване и управление (C2, C&C). Изпълнимият файл се доставя под формата на .cab файл с произволно име. Помощната програма за разширяване на системата е необходима за разопаковане на доставения файл в съществуваща директория, принадлежаща на законен софтуерен продукт. В допълнение, хакерите също пускат специален инсталационен компонент, който има за задача да регистрира DLL на nccTrojan като услуга. Това гарантира, че заплахата ще се зарежда автоматично при всяко стартиране на системата.

След като стане активен, основният модул на nccTrojan ще се опита да установи контакт със списък от твърдо кодирани C2 адреси. Цялата последваща комуникация ще бъде предадена на сървъра, който отговори пръв. По време на първоначалния контакт заплахата също изпраща различна обща информация за нарушената система, като име на компютъра, IP адрес, потребителско име, версия на зловреден софтуер, данни за локализация на системата и др. Троянският кон ncc също така предоставя на атакуващите функционалност за задната вратичка, възможност за изпълнение на команди, стартиране на изпълними файлове, убиване на избрани процеси, манипулиране на файловата система, извличане на допълнителни полезни товари от C2 и др.