nccTrojan

Prijetnja nccTrojan korištena je u nizu napada za koje se vjeruje da ih je izvela skupina APT (Advanced Persistent Threat) poznata kao TA428 koju podržava Kina. Na meti kibernetičkih kriminalaca su poduzeća i javne institucije povezane s vojskom koje se nalaze u nekoliko istočnoeuropskih zemalja i Afganistanu. Čini se da je cilj prijetećih kampanja prikupljanje podataka i kibernetička špijunaža, pri čemu akteri prijetnji bacaju šest različitih prijetnji zlonamjernog softvera na provaljena računala.

Inicijalni pristup uređajima postiže se kroz visoko ciljane spear-phishing kampanje. Hakeri TA428 izrađuju prilagođene primamljive e-poruke koje se koriste protiv određenih organizacija. Neke e-poruke za krađu identiteta čak su sadržavale povjerljive ili privatne podatke koji nisu javno dostupni. Kada žrtve izvrše dokumente Worda s oružjem priložene primamljivim e-porukama, to pokreće oštećeni kod koji iskorištava ranjivost CVE-2017-11882. Pojedinosti o napadima i štetnom arsenalu hakera objavljeni su u izvješću sigurnosnih istraživača.

Analiza nccTrojan

Zlonamjerni softver nccTrojan već je pripisan TA428. Zapravo, čini se da prijetnju aktivno razvijaju napadači. Instalacija prijetnje na oštećeni uređaj počinje preuzimanjem nekoliko datoteka s Command-and-Control (C2, C&C) poslužitelja. Izvršna datoteka isporučuje se u obliku .cab datoteke s proizvoljnim nazivom. Uslužni program za proširenje sustava potreban je za raspakiranje isporučene datoteke u postojeći direktorij koji pripada legitimnom softverskom proizvodu. Osim toga, hakeri također ispuštaju posebnu instalacijsku komponentu koja ima zadatak registrirati nccTrojan DLL kao uslugu. Na taj način osiguravate da će se prijetnja automatski učitati pri svakom pokretanju sustava.

Nakon što postane aktivan, glavni modul nccTrojana pokušat će uspostaviti kontakt s popisom tvrdo kodiranih C2 adresa. Sva naknadna komunikacija bit će poslana poslužitelju koji prvi odgovori. Tijekom početnog kontakta, prijetnja također šalje razne opće informacije o probijenom sustavu, kao što su naziv računala, IP adresa, korisničko ime, verzija zlonamjernog softvera, podaci o lokalizaciji sustava i drugo. nccTrojan napadačima također pruža backdoor funkcionalnost, mogućnost izvršavanja naredbi, pokretanja izvršnih datoteka, ubijanja odabranih procesa, manipuliranja datotečnim sustavom, dohvaćanja dodatnih korisnih podataka iz C2 i više.