nccTrojan

Az nccTrojan fenyegetést támadások sorozatában használták, amelyekről feltételezhető, hogy a kínai támogatású APT (Advanced Persistent Threat) csoport, a TA428 néven ismert. A kiberbűnözők több kelet-európai országban és Afganisztánban található katonai vonatkozású vállalkozásokat és közintézményeket veszik célba. Úgy tűnik, hogy a fenyegető kampányok célja az adatgyűjtés és a kiberkémkedés, a fenyegetés szereplői hat különböző rosszindulatú fenyegetést dobtak a feltört gépekre.

Az eszközökhöz való kezdeti hozzáférést erősen célzott adathalász kampányok révén érik el. A TA428 hackerei egyedi csalogató e-maileket készítenek, amelyeket meghatározott szervezetek ellen használhatnak fel. Egyes adathalász e-mailek olyan bizalmas vagy privát információkat is tartalmaztak, amelyek nem nyilvánosak. Amikor az áldozatok végrehajtják a csalogató e-mailekhez csatolt fegyveres Word-dokumentumokat, az egy sérült kódot indít el, amely kihasználja a CVE-2017-11882 biztonsági rést. A támadásokról és a hackerek bántó arzenáljáról a biztonsági kutatók jelentésében hozták nyilvánosságra a részleteket.

Az nccTrojan elemzése

Az nccTrojan kártevőt már a TA428-nak tulajdonították. Valójában úgy tűnik, hogy a fenyegetést a támadók aktívan fejlesztették. A fenyegetés telepítése a feltört eszközre több fájl letöltésével kezdődik a Command-and-Control (C2, C&C) szerverről. A végrehajtható fájl egy tetszőleges nevű .cab fájl formájában érkezik. A rendszerbővítő segédprogram szükséges a kézbesített fájl kicsomagolásához egy jogszerű szoftvertermékhez tartozó meglévő könyvtárba. Ezenkívül a hackerek egy speciális telepítőkomponenst is eldobnak, amelynek feladata, hogy szolgáltatásként regisztrálja az nccTrojan DLL-jét. Ezzel biztosítja, hogy a fenyegetés minden rendszerindításkor automatikusan betöltődik.

Az aktívvá válás után az nccTrojan fő modulja megpróbál kapcsolatot létesíteni a hardcoded C2 címek listájával. Minden további kommunikáció az elsőként válaszoló szerverhez kerül továbbításra. A kezdeti kapcsolatfelvétel során a fenyegetés különféle általános információkat is küld a feltört rendszerről, például a számítógép nevét, IP-címét, felhasználónevét, rosszindulatú program verzióját, rendszer lokalizációs adatait stb. Az nccTrojan a támadók számára hátsó ajtó funkciókat is biztosít, parancsok végrehajtását, végrehajtható fájlok indítását, kiválasztási folyamatok leállítását, fájlrendszer manipulálását, további hasznos terhelések lekérését a C2-ből és még sok mást.