NccTrojan

„nccTrojan“ grėsmė buvo naudojama daugelyje atakų, kurias, kaip manoma, įvykdė Kinijos remiama APT (Advanced Persistent Threat) grupė, žinoma kaip TA428. Kibernetiniai nusikaltėliai taikosi į su karine veikla susijusias įmones ir viešąsias įstaigas, esančias keliose Rytų Europos šalyse ir Afganistane. Atrodo, kad grasinančių kampanijų tikslas yra duomenų rinkimas ir kibernetinis šnipinėjimas, o grėsmės veikėjai pašalina šešias skirtingas kenkėjiškų programų grėsmes pažeistuose įrenginiuose.

Pradinė prieiga prie įrenginių pasiekiama per itin tikslingas sukčiavimo kampanijas. TA428 įsilaužėliai kuria pasirinktinius priviliojimo el. laiškus, kurie bus naudojami prieš konkrečias organizacijas. Kai kuriuose sukčiavimo el. laiškuose netgi buvo konfidencialios ar privačios informacijos, kuri nėra viešai prieinama. Kai aukos vykdo ginkluotus „Word“ dokumentus, pridėtus prie viliojančių el. laiškų, suaktyvinamas sugadintas kodas, išnaudojantis CVE-2017-11882 pažeidžiamumą. Išsami informacija apie atakas ir žalingą įsilaužėlių arsenalą buvo paskelbta saugumo tyrėjų ataskaitoje.

nccTrojan analizė

Kenkėjiška programa nccTrojan jau buvo priskirta TA428. Tiesą sakant, atrodo, kad užpuolikai aktyviai plėtoja grėsmę. Grėsmės įdiegimas pažeistame įrenginyje prasideda kelių failų atsisiuntimu iš komandų ir valdymo (C2, C&C) serverio. Vykdomasis failas pateikiamas kaip .cab failas su savavališku pavadinimu. Sistemos išplėtimo programa reikalinga norint išpakuoti pateiktą failą į esamą katalogą, priklausantį teisėtam programinės įrangos produktui. Be to, įsilaužėliai taip pat atsisako specialaus diegimo programos komponento, kuriam pavesta užregistruoti nccTrojan DLL kaip paslaugą. Taip užtikrinama, kad grėsmė bus automatiškai įkelta kiekvieną kartą paleidžiant sistemą.

Suaktyvinus, pagrindinis nccTrojan modulis bandys užmegzti ryšį su užkoduotų C2 adresų sąrašu. Visas tolesnis ryšys bus perduotas serveriui, kuris atsakys pirmasis. Pirminio kontakto metu grėsmė taip pat siunčia įvairią bendrą informaciją apie pažeistą sistemą, pvz., kompiuterio pavadinimą, IP adresą, vartotojo vardą, kenkėjiškos programos versiją, sistemos lokalizacijos duomenis ir kt. „nccTrojan“ užpuolikams taip pat suteikia užpakalinių durų funkcionalumą, galimybę vykdyti komandas, paleisti vykdomuosius failus, naikinti pasirinktus procesus, manipuliuoti failų sistema, gauti papildomų naudingų apkrovų iš C2 ir dar daugiau.