NccTrojan

האיום nccTrojan שימש בסדרה של התקפות שבוצעו על ידי קבוצת APT (Advanced Persistent Threat) הנתונה בגיבוי סיני הידועה בשם TA428. פושעי הסייבר מכוונים למפעלים הקשורים לצבא ולמוסדות ציבוריים הממוקמים במספר מדינות במזרח אירופה ובאפגניסטן. נראה שהמטרה של הקמפיינים המאיימים היא איסוף נתונים וריגול סייבר, כאשר שחקני האיומים מפילים שישה איומים שונים של תוכנות זדוניות על המכונות שנפרצו.

גישה ראשונית למכשירים מושגת באמצעות קמפיינים ממוקדים ביותר של ספייר דיוג. ההאקרים של TA428 יוצרים דוא"ל פיתוי מותאמים אישית לשימוש נגד ארגונים ספציפיים. כמה הודעות דוא"ל פישינג אפילו הכילו מידע סודי או פרטי שאינו זמין לציבור. כאשר קורבנות מבצעים את מסמכי Word המכילים נשק המצורפים למייל הפיתוי, זה מפעיל קוד פגום המנצל את הפגיעות של CVE-2017-11882. פרטים על ההתקפות והארסנל הפוגע של ההאקרים פורסמו בדו"ח של חוקרי אבטחה.

ניתוח של nccTrojan

התוכנה הזדונית nccTrojan כבר יוחסה ל-TA428. למעשה, נראה שהאיום פותח באופן פעיל על ידי התוקפים. התקנת האיום על המכשיר הפרוץ מתחילה בהורדה של מספר קבצים משרת Command-and-Control (C2, C&C). קובץ ההפעלה מועבר בצורה של קובץ .cab עם שם שרירותי. יש צורך בכלי הרחבת המערכת כדי לפרוק את הקובץ שנמסר לספרייה קיימת השייכת למוצר תוכנה לגיטימי. בנוסף, ההאקרים גם מפילים רכיב התקנה מיוחד שמשימה רישום ה-DLL של nccTrojan כשירות. פעולה זו מבטיחה שהאיום ייטען אוטומטית בכל הפעלה של מערכת.

לאחר הפיכתו לפעיל, המודול הראשי של nccTrojan ינסה ליצור קשר עם רשימה של כתובות C2 מקודדות. כל התקשורת שלאחר מכן תועבר לשרת שיגיב ראשון. במהלך המגע הראשוני, האיום גם שולח מידע כללי מגוון על המערכת הנפרצה, כגון שם המחשב, כתובת ה-IP, שם המשתמש, גרסת התוכנה הזדונית, נתוני לוקליזציה של המערכת ועוד. ה-nccTrojan מספק לתוקפים גם פונקציונליות של דלת אחורית, יכולת לבצע פקודות, להפעיל קבצי הפעלה, להרוג תהליכים נבחרים, לתפעל את מערכת הקבצים, להביא מטענים נוספים מה-C2 ועוד.