nccTrojan

NccTrooja ohtu on kasutatud rünnakute seerias, mille korraldajaks arvatakse olevat Hiina toetatud APT (Advanced Persistent Threat) rühm, mida tuntakse nime all TA428. Küberkurjategijate sihikule on võetud sõjaväega seotud ettevõtted ja riigiasutused, mis asuvad mitmes Ida-Euroopa riigis ja Afganistanis. Ähvarduskampaaniate eesmärk näib olevat andmete kogumine ja küberspionaaž, kusjuures ohus osalejad kukutavad rikutud masinatele kuus erinevat pahavaraohtu.

Esialgne juurdepääs seadmetele saavutatakse kõrgelt sihitud andmepüügikampaaniate kaudu. TA428 häkkerid koostavad kohandatud peibutusmeile, mida kasutatakse konkreetsete organisatsioonide vastu. Mõned andmepüügimeilid sisaldasid isegi konfidentsiaalset või privaatset teavet, mis pole avalikult saadaval. Kui ohvrid täidavad peibutusmeilidele lisatud relvastatud Wordi dokumente, käivitab see rikutud koodi, mis kasutab turvaauku CVE-2017-11882. Üksikasjad rünnakute ja häkkerite haavatava arsenali kohta avaldati turvateadlaste aruandes.

NccTrojan analüüs

NccTrooja pahavara on juba omistatud TA428-le. Tegelikult näib, et ründajad on seda ohtu aktiivselt arendanud. Ohu installimine rikutud seadmesse algab mitme faili allalaadimisega Command-and-Control (C2, C&C) serverist. Käivitatav fail tarnitakse suvalise nimega cab-failina. Süsteemi laiendusutiliit on vajalik tarnitud faili lahtipakkimiseks olemasolevasse seadusliku tarkvaratoote kataloogi. Lisaks jätavad häkkerid maha ka spetsiaalse installikomponendi, mille ülesandeks on registreerida nccTrooja DLL-i teenusena. See tagab, et oht laaditakse automaatselt igal süsteemi käivitamisel.

Pärast aktiveerimist proovib nccTrojan põhimoodul luua kontakti kõvakoodiga C2-aadresside loendiga. Kogu edasine suhtlus edastatakse serverile, mis vastab esimesena. Esmase kontakti käigus saadab ähvardus ka erinevat üldist teavet rikutud süsteemi kohta, nagu arvuti nimi, IP-aadress, kasutajanimi, pahavara versioon, süsteemi lokaliseerimise andmed ja palju muud. NccTrojan pakub ründajatele ka tagaukse funktsionaalsust, võimalust täita käske, käivitada käivitatavaid faile, tappa valitud protsesse, manipuleerida failisüsteemiga, tuua C2-st täiendavaid kasulikke koormusi ja palju muud.