NccTrojan

nccTrojan-truslen er blevet brugt i en række angreb, der menes at være udført af en kinesisk-støttet APT-gruppe (Advanced Persistent Threat) kendt som TA428. De cyberkriminelle er rettet mod militærrelaterede virksomheder og offentlige institutioner i flere østeuropæiske lande og Afghanistan. Målet med de truende kampagner ser ud til at være dataindsamling og cyberspionage, hvor trusselsaktørerne dropper seks forskellige malware-trusler på de brudte maskiner.

Indledende adgang til enhederne opnås gennem meget målrettede spear-phishing-kampagner. TA428 hackerne laver brugerdefinerede lokke-e-mails, der skal bruges mod specifikke organisationer. Nogle phishing-e-mails indeholdt endda fortrolige eller private oplysninger, som ikke er offentligt tilgængelige. Når ofre udfører de bevæbnede Word-dokumenter, der er knyttet til lokke-e-mails, udløser det en korrupt kode, der udnytter CVE-2017-11882-sårbarheden. Detaljer om angrebene og hackernes sårende arsenal blev offentliggjort i en rapport b sikkerhedsforskere.

Analyse af nccTrojan

nccTrojan-malwaren er allerede blevet tilskrevet TA428. Faktisk ser truslen ud til at være aktivt udviklet af angriberne. Installationen af truslen på den brudte enhed begynder med download af flere filer fra Command-and-Control-serveren (C2, C&C). Den eksekverbare leveres i form af en .cab-fil med et vilkårligt navn. Udvidelse af systemværktøjet er nødvendigt for at pakke den leverede fil ud i en eksisterende mappe, der tilhører et legitimt softwareprodukt. Derudover dropper hackerne også en særlig installationskomponent, der har til opgave at registrere nccTrojans DLL som en tjeneste. Dette sikrer, at truslen indlæses automatisk ved hver systemstart.

Efter at være blevet aktiv, vil hovedmodulet i nccTrojan forsøge at etablere kontakt med en liste over hårdkodede C2-adresser. Al efterfølgende kommunikation vil blive overført til den server, der svarer først. Under den første kontakt sender truslen også forskellige generelle oplysninger om det brudte system, såsom computernavn, IP-adresse, brugernavn, malwareversion, systemlokaliseringsdata og mere. nccTrojan giver også angriberne bagdørsfunktionalitet, evnen til at udføre kommandoer, starte eksekverbare filer, dræbe udvalgte processer, manipulere filsystemet, hente yderligere nyttelast fra C2 og mere.