nccTrojan
NccTrojan-uhkaa on käytetty useissa hyökkäyksissä, joiden uskotaan olevan Kiinan tukema APT (Advanced Persistent Threat) -ryhmä, joka tunnetaan nimellä TA428. Kyberrikolliset hyökkäävät armeijaan liittyviin yrityksiin ja julkisiin instituutioihin useissa Itä-Euroopan maissa ja Afganistanissa. Uhkailukampanjoiden tavoitteena näyttää olevan tiedonkeruu ja kybervakoilu, ja uhkatoimijat pudottivat kuusi erilaista haittaohjelmauhkaa rikotun koneen päälle.
Alkupääsy laitteisiin saavutetaan tarkasti kohdistetuilla phishing-kampanjoilla. TA428-hakkerit luovat mukautettuja houkutussähköpostiviestejä tiettyjä organisaatioita vastaan. Jotkut tietojenkalasteluviestit sisälsivät jopa luottamuksellisia tai yksityisiä tietoja, jotka eivät ole julkisesti saatavilla. Kun uhrit suorittavat houkutussähköpostiin liitettyjä aseistettuja Word-asiakirjoja, se laukaisee vioittuneen koodin, joka hyödyntää CVE-2017-11882-haavoittuvuutta. Yksityiskohdat hyökkäyksistä ja hakkereiden vahingollisesta arsenaalista julkaistiin tietoturvatutkijoiden raportissa.
Analyysi nccTrojanista
NccTrojan-haittaohjelma on jo liitetty TA428:aan. Itse asiassa hyökkääjät näyttävät kehittäneen uhkaa aktiivisesti. Uhan asentaminen rikotun laitteen päälle alkaa useiden tiedostojen lataamisella Command-and-Control (C2, C&C) -palvelimelta. Suoritettava tiedosto toimitetaan .cab-tiedostona mielivaltaisella nimellä. Laajenna järjestelmäapuohjelmaa tarvitaan toimitetun tiedoston purkamiseen olemassa olevaan lailliseen ohjelmistotuotteeseen kuuluvaan hakemistoon. Lisäksi hakkerit pudottavat myös erityisen asennuskomponentin, jonka tehtävänä on rekisteröidä nccTrojanin DLL palveluksi. Näin varmistetaan, että uhka latautuu automaattisesti jokaisen järjestelmän käynnistyksen yhteydessä.
Aktivoitumisen jälkeen nccTrojanin päämoduuli yrittää muodostaa yhteyden kovakoodattujen C2-osoitteiden luetteloon. Kaikki myöhemmät viestit välitetään palvelimelle, joka vastaa ensin. Ensimmäisen yhteydenoton aikana uhka lähettää myös erilaisia yleisiä tietoja rikotusta järjestelmästä, kuten tietokoneen nimen, IP-osoitteen, käyttäjätunnuksen, haittaohjelmaversion, järjestelmän lokalisointitiedot ja paljon muuta. NccTrojan tarjoaa hyökkääjille myös takaoven toiminnot, mahdollisuuden suorittaa komentoja, käynnistää suoritettavia tiedostoja, tappaa valittuja prosesseja, manipuloida tiedostojärjestelmää, hakea lisäkuormia C2:sta ja paljon muuta.
