NccTrojan

NccTrojas draudi ir izmantoti virknē uzbrukumu, kurus, domājams, ir veikusi Ķīnas atbalstīta APT (Advanced Persistent Threat) grupa, kas pazīstama kā TA428. Kibernoziedznieki vēršas pret ar militāriem nolūkiem saistītiem uzņēmumiem un valsts iestādēm, kas atrodas vairākās Austrumeiropas valstīs un Afganistānā. Šķiet, ka draudošo kampaņu mērķis ir datu vākšana un kiberspiegošana, un draudu dalībnieki uzlauztajās iekārtās novērš sešus dažādus ļaunprātīgas programmatūras draudus.

Sākotnējā piekļuve ierīcēm tiek panākta, izmantojot īpaši mērķtiecīgas pikšķerēšanas kampaņas. TA428 hakeri izstrādā pielāgotus pievilināšanas e-pastus, ko izmantot pret konkrētām organizācijām. Dažos pikšķerēšanas e-pastos bija pat konfidenciāla vai privāta informācija, kas nav publiski pieejama. Kad upuri izpilda ieroci Word dokumentus, kas pievienoti vilinājuma e-pastiem, tas aktivizē bojātu kodu, izmantojot CVE-2017-11882 ievainojamību. Sīkāka informācija par uzbrukumiem un hakeru kaitīgo arsenālu tika publicēta drošības pētnieku ziņojumā.

nccTrojan analīze

nccTrojas ļaunprogrammatūra jau ir attiecināta uz TA428. Faktiski draudus, šķiet, aktīvi attīsta uzbrucēji. Draudi instalēšana uzlauztajā ierīcē sākas ar vairāku failu lejupielādi no Command-and-Control (C2, C&C) servera. Izpildāmais fails tiek piegādāts .cab faila formā ar patvaļīgu nosaukumu. Sistēmas paplašināšanas utilīta ir nepieciešama, lai izsaiņotu piegādāto failu esošā direktorijā, kas pieder likumīgam programmatūras produktam. Turklāt hakeri pamet arī īpašu instalēšanas komponentu, kura uzdevums ir reģistrēt nccTrojan DLL kā pakalpojumu. Šādi tiek nodrošināts, ka draudi tiks automātiski ielādēti katrā sistēmas startēšanas reizē.

Pēc aktivizēšanās nccTrojan galvenais modulis mēģinās izveidot kontaktu ar cietā koda C2 adrešu sarakstu. Visa turpmākā saziņa tiks pārsūtīta uz serveri, kas atbild pirmais. Sākotnējās saziņas laikā draudi nosūta arī dažādu vispārīgu informāciju par uzlauzto sistēmu, piemēram, datora nosaukumu, IP adresi, lietotājvārdu, ļaunprātīgas programmatūras versiju, sistēmas lokalizācijas datus un daudz ko citu. NccTrojan nodrošina arī uzbrucējiem aizmugures durvju funkcionalitāti, iespēju izpildīt komandas, palaist izpildāmos failus, nogalināt atlasītos procesus, manipulēt ar failu sistēmu, iegūt papildu lietderīgās slodzes no C2 un daudz ko citu.