NccTrojan
Η απειλή nccTrojan έχει χρησιμοποιηθεί σε μια σειρά επιθέσεων που πιστεύεται ότι πραγματοποιούνται από μια ομάδα APT (Advanced Persistent Threat) που υποστηρίζεται από την Κίνα, γνωστή ως TA428. Οι κυβερνοεγκληματίες στοχεύουν στρατιωτικές επιχειρήσεις και δημόσιους οργανισμούς που βρίσκονται σε πολλές χώρες της Ανατολικής Ευρώπης και στο Αφγανιστάν. Ο στόχος των απειλητικών εκστρατειών φαίνεται να είναι η συλλογή δεδομένων και η κατασκοπεία στον κυβερνοχώρο, με τους φορείς απειλών να απορρίπτουν έξι διαφορετικές απειλές κακόβουλου λογισμικού στα μηχανήματα που έχουν παραβιαστεί.
Η αρχική πρόσβαση στις συσκευές επιτυγχάνεται μέσω άκρως στοχευμένων καμπανιών spear-phishing. Οι χάκερ TA428 δημιουργούν προσαρμοσμένα μηνύματα ηλεκτρονικού ταχυδρομείου που θα χρησιμοποιηθούν εναντίον συγκεκριμένων οργανισμών. Ορισμένα μηνύματα ηλεκτρονικού ψαρέματος περιείχαν ακόμη και εμπιστευτικές ή ιδιωτικές πληροφορίες που δεν είναι δημόσια διαθέσιμες. Όταν τα θύματα εκτελούν τα οπλισμένα έγγραφα του Word που επισυνάπτονται στα μηνύματα ηλεκτρονικού ταχυδρομείου, ενεργοποιεί έναν κατεστραμμένο κώδικα που εκμεταλλεύεται την ευπάθεια CVE-2017-11882. Λεπτομέρειες σχετικά με τις επιθέσεις και το βλαβερό οπλοστάσιο των χάκερ κυκλοφόρησαν σε μια έκθεση β ερευνητών ασφαλείας.
Ανάλυση του nccTrojan
Το κακόβουλο λογισμικό nccTrojan έχει ήδη αποδοθεί στο TA428. Στην πραγματικότητα, η απειλή φαίνεται να αναπτύσσεται ενεργά από τους επιτιθέμενους. Η εγκατάσταση της απειλής στη συσκευή που έχει παραβιαστεί ξεκινά με τη λήψη πολλών αρχείων από τον διακομιστή Command-and-Control (C2, C&C). Το εκτελέσιμο παραδίδεται με τη μορφή αρχείου .cab με αυθαίρετο όνομα. Το βοηθητικό πρόγραμμα επέκτασης συστήματος απαιτείται για την αποσυσκευασία του παραδοθέντος αρχείου σε έναν υπάρχοντα κατάλογο που ανήκει σε ένα νόμιμο προϊόν λογισμικού. Επιπλέον, οι χάκερ ρίχνουν επίσης ένα ειδικό στοιχείο εγκατάστασης που έχει ως αποστολή την εγγραφή του DLL του nccTrojan ως υπηρεσία. Με αυτόν τον τρόπο διασφαλίζεται ότι η απειλή θα φορτώνεται αυτόματα σε κάθε εκκίνηση του συστήματος.
Αφού γίνει ενεργή, η κύρια μονάδα του nccTrojan θα προσπαθήσει να δημιουργήσει επαφή με μια λίστα διευθύνσεων C2 με σκληρό κώδικα. Όλη η επακόλουθη επικοινωνία θα μεταδοθεί στον διακομιστή που ανταποκρίνεται πρώτος. Κατά την αρχική επαφή, η απειλή στέλνει επίσης διάφορες γενικές πληροφορίες σχετικά με το παραβιασμένο σύστημα, όπως το όνομα του υπολογιστή, τη διεύθυνση IP, το όνομα χρήστη, την έκδοση κακόβουλου λογισμικού, τα δεδομένα εντοπισμού του συστήματος και άλλα. Το nccTrojan παρέχει επίσης στους εισβολείς λειτουργίες backdoor, δυνατότητα εκτέλεσης εντολών, εκκίνησης εκτελέσιμων αρχείων, σκοτώματος επιλεγμένων διεργασιών, χειρισμού του συστήματος αρχείων, λήψης πρόσθετων ωφέλιμων φορτίων από το C2 και πολλά άλλα.
