nccTrojan

nccTrojan खतरे का इस्तेमाल टीए428 नामक चीनी समर्थित एपीटी (एडवांस पर्सिस्टेंट थ्रेट) समूह द्वारा किए जाने वाले हमलों की एक श्रृंखला में किया गया है। साइबर अपराधी कई पूर्वी यूरोपीय देशों और अफगानिस्तान में स्थित सैन्य-संबंधित उद्यमों और सार्वजनिक संस्थानों को निशाना बना रहे हैं। धमकी देने वाले अभियानों का लक्ष्य डेटा-संग्रह और साइबर जासूसी प्रतीत होता है, जिसमें खतरे वाले अभिनेताओं ने भंग मशीनों पर छह अलग-अलग मैलवेयर खतरों को छोड़ दिया है।

अत्यधिक लक्षित स्पीयर-फ़िशिंग अभियानों के माध्यम से उपकरणों तक प्रारंभिक पहुँच प्राप्त की जाती है। TA428 हैकर्स विशिष्ट संगठनों के खिलाफ उपयोग किए जाने वाले कस्टम लालच ईमेल तैयार करते हैं। कुछ फ़िशिंग ईमेल में गोपनीय या निजी जानकारी भी होती है जो सार्वजनिक रूप से उपलब्ध नहीं होती है। जब पीड़ित लुभावने ईमेल से जुड़े हथियारयुक्त वर्ड दस्तावेज़ों को निष्पादित करते हैं, तो यह CVE-2017-11882 भेद्यता का शोषण करने वाले एक दूषित कोड को ट्रिगर करता है। एक रिपोर्ट बी सुरक्षा शोधकर्ताओं में हमलों और हैकर्स के हानिकारक शस्त्रागार के बारे में विवरण जारी किया गया था।

nccTrojan का विश्लेषण

NccTrojan मैलवेयर को पहले ही TA428 के लिए जिम्मेदार ठहराया जा चुका है। वास्तव में, यह खतरा हमलावरों द्वारा सक्रिय रूप से विकसित किया गया प्रतीत होता है। क्षतिग्रस्त डिवाइस पर खतरे की स्थापना कमांड-एंड-कंट्रोल (C2, C&C) सर्वर से कई फाइलों के डाउनलोड के साथ शुरू होती है। निष्पादन योग्य एक .cab फ़ाइल के रूप में एक मनमाना नाम के साथ वितरित किया जाता है। एक वैध सॉफ़्टवेयर उत्पाद से संबंधित मौजूदा निर्देशिका में वितरित फ़ाइल को अनपैक करने के लिए विस्तृत सिस्टम उपयोगिता की आवश्यकता है। इसके अलावा, हैकर्स nccTrojan के DLL को एक सेवा के रूप में पंजीकृत करने के साथ काम करने वाले एक विशेष इंस्टॉलर घटक को भी छोड़ देते हैं। ऐसा करने से यह सुनिश्चित होता है कि हर सिस्टम स्टार्टअप पर खतरा अपने आप लोड हो जाएगा।

सक्रिय होने के बाद, nccTrojan का मुख्य मॉड्यूल हार्डकोडेड C2 पतों की सूची के साथ संपर्क स्थापित करने का प्रयास करेगा। बाद के सभी संचार उस सर्वर को प्रेषित किए जाएंगे जो पहले प्रतिक्रिया करता है। प्रारंभिक संपर्क के दौरान, खतरा भंग सिस्टम के बारे में विभिन्न सामान्य जानकारी भी भेजता है, जैसे कंप्यूटर का नाम, आईपी पता, उपयोगकर्ता नाम, मैलवेयर संस्करण, सिस्टम स्थानीयकरण डेटा और बहुत कुछ। nccTrojan हमलावरों को पिछले दरवाजे की कार्यक्षमता, कमांड निष्पादित करने की क्षमता, निष्पादन योग्य फ़ाइलों को लॉन्च करने, चुनिंदा प्रक्रियाओं को मारने, फ़ाइल सिस्टम में हेरफेर करने, C2 से अतिरिक्त पेलोड लाने और बहुत कुछ प्रदान करता है।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...