NccTrojan

L'amenaça nccTrojan s'ha utilitzat en una sèrie d'atacs que es creu que han estat duts a terme per un grup APT (amenaça persistent avançada) recolzat per la Xina conegut com a TA428. Els ciberdelinqüents s'apunten a empreses i institucions públiques relacionades amb l'exèrcit ubicades a diversos països d'Europa de l'Est i a l'Afganistan. L'objectiu de les campanyes amenaçadores sembla ser la recollida de dades i l'espionatge cibernètic, amb els actors de l'amenaça deixant caure sis amenaces de programari maliciós diferents a les màquines violades.

L'accés inicial als dispositius s'aconsegueix a través de campanyes de pesca de pesca molt orientades. Els pirates informàtics TA428 elaboren correus electrònics personalitzats per utilitzar-los contra organitzacions específiques. Alguns correus electrònics de pesca fins i tot contenien informació confidencial o privada que no està disponible públicament. Quan les víctimes executen els documents de Word armats adjunts als correus electrònics de l'esquer, activa un codi corrupte que explota la vulnerabilitat CVE-2017-11882. Els detalls sobre els atacs i el dolent arsenal dels pirates informàtics es van publicar en un informe d'investigadors de seguretat.

Anàlisi de nccTrojan

El programari maliciós nccTrojan ja s'ha atribuït a TA428. De fet, l'amenaça sembla estar desenvolupada activament pels atacants. La instal·lació de l'amenaça al dispositiu violat comença amb la descàrrega de diversos fitxers del servidor d'ordres i control (C2, C&C). L'executable es lliura en forma d'un fitxer .cab amb un nom arbitrari. La utilitat d'expansió del sistema és necessària per desempaquetar el fitxer lliurat en un directori existent que pertany a un producte de programari legítim. A més, els pirates informàtics també deixen anar un component instal·lador especial encarregat de registrar la DLL de nccTrojan com a servei. En fer-ho, s'assegura que l'amenaça es carregarà automàticament a cada inici del sistema.

Després d'estar actiu, el mòdul principal de nccTrojan intentarà establir contacte amb una llista d'adreces C2 codificades. Tota la comunicació posterior es transmetrà al servidor que respongui primer. Durant el contacte inicial, l'amenaça també envia informació general sobre el sistema violat, com ara el nom de l'ordinador, l'adreça IP, el nom d'usuari, la versió del programari maliciós, les dades de localització del sistema i molt més. El nccTrojan també proporciona als atacants la funcionalitat de la porta del darrere, la capacitat d'executar ordres, llançar fitxers executables, matar processos de selecció, manipular el sistema de fitxers, obtenir càrregues útils addicionals del C2 i molt més.