NccTrojan

Hrozba nccTrojan byla použita v sérii útoků, o kterých se předpokládá, že je provedla Čínou podporovaná skupina APT (Advanced Persistent Threat) známá jako TA428. Kyberzločinci se zaměřují na vojenské podniky a veřejné instituce nacházející se v několika východoevropských zemích a Afghánistánu. Zdá se, že cílem hrozivých kampaní je shromažďování dat a kybernetická špionáž, přičemž aktéři hrozeb vrhají na napadené stroje šest různých malwarových hrozeb.

Počátečního přístupu k zařízením je dosaženo prostřednictvím vysoce cílených kampaní spear-phishing. Hackeři TA428 vytvářejí vlastní e-maily s návnadami, které mají být použity proti konkrétním organizacím. Některé phishingové e-maily dokonce obsahovaly důvěrné nebo soukromé informace, které nejsou veřejně dostupné. Když oběti spustí dokumenty Wordu se zbraněmi připojené k e-mailům s návnadou, spustí se poškozený kód využívající zranitelnost CVE-2017-11882. Podrobnosti o útocích a škodlivém arzenálu hackerů byly zveřejněny ve zprávě b bezpečnostních výzkumníků.

Analýza nccTrojan

Malware nccTrojan již byl připsán TA428. Ve skutečnosti se zdá, že hrozba je aktivně vyvinuta útočníky. Instalace hrozby na napadené zařízení začíná stažením několika souborů ze serveru Command-and-Control (C2, C&C). Spustitelný soubor je dodáván ve formě souboru .cab s libovolným názvem. K rozbalení dodaného souboru do existujícího adresáře patřícího legitimnímu softwarovému produktu je zapotřebí obslužný program expand system. Kromě toho hackeři také vypustí speciální instalační komponentu, která má za úkol zaregistrovat DLL nccTrojan jako službu. Tím zajistíte, že hrozba bude načtena automaticky při každém spuštění systému.

Po aktivaci se hlavní modul nccTrojan pokusí navázat kontakt se seznamem pevně zakódovaných adres C2. Veškerá následná komunikace bude přenesena na server, který odpoví jako první. Při prvotním kontaktu hrozba také odešle různé obecné informace o narušeném systému, jako je název počítače, IP adresa, uživatelské jméno, verze malwaru, data o lokalizaci systému a další. nccTrojan také poskytuje útočníkům funkci zadních vrátek, schopnost spouštět příkazy, spouštět spustitelné soubory, zabíjet vybrané procesy, manipulovat se systémem souborů, získávat další užitečné zatížení z C2 a další.