nccTrojan

nccTrojan 위협은 TA428로 알려진 중국 지원 APT(Advanced Persistent Threat) 그룹이 수행한 것으로 여겨지는 일련의 공격에 사용되었습니다. 사이버 범죄자들은 여러 동유럽 국가와 아프가니스탄에 위치한 군사 관련 기업 및 공공 기관을 표적으로 삼고 있습니다. 위협적인 캠페인의 목표는 데이터 수집 및 사이버 스파이 활동으로 보이며, 위협 행위자는 침해된 시스템에 6가지 다른 맬웨어 위협을 떨어뜨립니다.

장치에 대한 초기 액세스는 고도로 표적화된 스피어 피싱 캠페인을 통해 달성됩니다. TA428 해커는 특정 조직에 사용할 맞춤형 미끼 이메일을 제작합니다. 일부 피싱 이메일에는 공개적으로 사용할 수 없는 기밀 또는 개인 정보도 포함되어 있습니다. 피해자가 루어 이메일에 첨부된 무기화된 Word 문서를 실행하면 CVE-2017-11882 취약점을 악용하는 손상된 코드가 실행됩니다. 공격 및 해커의 해로운 무기고에 대한 세부 정보는 보안 연구원 보고서 b에서 공개되었습니다.

nccTrojan 분석

nccTrojan 멀웨어는 이미 TA428에 기인합니다. 실제로 위협 요소는 공격자가 적극적으로 개발한 것으로 보입니다. 침해된 장치에 대한 위협 설치는 Command-and-Control(C2, C&C) 서버에서 여러 파일을 다운로드하는 것으로 시작됩니다. 실행 파일은 임의의 이름을 가진 .cab 파일 형식으로 제공됩니다. 확장 시스템 유틸리티는 전달된 파일을 합법적인 소프트웨어 제품에 속한 기존 디렉토리에 압축을 푸는 데 필요합니다. 또한 해커는 nccTrojan의 DLL을 서비스로 등록하는 작업을 수행하는 특수 설치 프로그램 구성 요소도 드롭합니다. 이렇게 하면 모든 시스템 시작 시 위협 요소가 자동으로 로드됩니다.

활성화된 후 nccTrojan의 기본 모듈은 하드코딩된 C2 주소 목록과 연결을 시도합니다. 모든 후속 통신은 먼저 응답하는 서버로 전송됩니다. 초기 접촉 시 위협 요소는 컴퓨터 이름, IP 주소, 사용자 이름, 멀웨어 버전, 시스템 현지화 데이터 등과 같은 침해된 시스템에 대한 다양한 일반 정보도 전송합니다. nccTrojan은 또한 백도어 기능, 명령 실행, 실행 파일 실행, 선택 프로세스 종료, 파일 시스템 조작, C2에서 추가 페이로드 가져오기 등의 기능을 공격자에게 제공합니다.