NccTrojan

La minaccia nccTrojan è stata utilizzata in una serie di attacchi che si ritiene siano stati effettuati da un gruppo APT (Advanced Persistent Threat) sostenuto dalla Cina noto come TA428. I criminali informatici prendono di mira imprese legate all'esercito e istituzioni pubbliche situate in diversi paesi dell'Europa orientale e in Afghanistan. L'obiettivo delle campagne minacciose sembra essere la raccolta di dati e lo spionaggio informatico, con gli attori delle minacce che rilasciano sei diverse minacce malware sulle macchine violate.

L'accesso iniziale ai dispositivi è ottenuto attraverso campagne di spear-phishing altamente mirate. Gli hacker TA428 creano e-mail di richiamo personalizzate da utilizzare contro organizzazioni specifiche. Alcune e-mail di phishing contenevano anche informazioni riservate o private che non sono pubblicamente disponibili. Quando le vittime eseguono i documenti Word armati allegati alle e-mail di richiamo, viene attivato un codice danneggiato che sfrutta la vulnerabilità CVE-2017-11882. I dettagli sugli attacchi e l'arsenale dannoso degli hacker sono stati rilasciati in un rapporto di ricercatori di sicurezza.

Analisi di nccTrojan

Il malware nccTrojan è già stato attribuito a TA428. In effetti, la minaccia sembra essere attivamente sviluppata dagli aggressori. L'installazione della minaccia sul dispositivo violato inizia con il download di diversi file dal server Command-and-Control (C2, C&C). L'eseguibile viene consegnato sotto forma di un file .cab con un nome arbitrario. L'utilità di espansione del sistema è necessaria per decomprimere il file consegnato in una directory esistente che appartiene a un prodotto software legittimo. Inoltre, gli hacker rilasciano anche uno speciale componente di installazione incaricato di registrare la DLL di nccTrojan come servizio. In questo modo si assicura che la minaccia venga caricata automaticamente ad ogni avvio del sistema.

Dopo essere diventato attivo, il modulo principale di nccTrojan tenterà di stabilire un contatto con un elenco di indirizzi C2 codificati. Tutte le successive comunicazioni verranno trasmesse al server che risponde per primo. Durante il contatto iniziale, la minaccia invia anche varie informazioni generali sul sistema violato, come il nome del computer, l'indirizzo IP, il nome utente, la versione del malware, i dati di localizzazione del sistema e altro ancora. Il nccTrojan fornisce anche agli aggressori funzionalità backdoor, la possibilità di eseguire comandi, lanciare file eseguibili, uccidere processi selezionati, manipolare il file system, recuperare payload aggiuntivi dal C2 e altro ancora.