NccTrojan

Ancaman nccTrojan telah digunakan dalam beberapa siri serangan yang dipercayai dilakukan oleh kumpulan APT (Advanced Persistent Threat) yang disokong China yang dikenali sebagai TA428. Penjenayah siber itu menyasarkan perusahaan berkaitan ketenteraan dan institusi awam yang terletak di beberapa negara Eropah Timur dan Afghanistan. Matlamat kempen mengancam nampaknya adalah pengumpulan data dan pengintipan siber, dengan pelaku ancaman menjatuhkan enam ancaman perisian hasad yang berbeza pada mesin yang dilanggar.

Akses awal kepada peranti dicapai melalui kempen pancingan lembing yang sangat disasarkan. Penggodam TA428 membuat e-mel gewang tersuai untuk digunakan terhadap organisasi tertentu. Sesetengah e-mel pancingan data malah mengandungi maklumat sulit atau peribadi yang tidak tersedia secara umum. Apabila mangsa melaksanakan dokumen Word bersenjata yang dilampirkan pada e-mel gewang, ia mencetuskan kod rosak yang mengeksploitasi kerentanan CVE-2017-11882. Butiran mengenai serangan dan senjata penggodam yang menyakitkan telah dikeluarkan dalam laporan b penyelidik keselamatan.

Analisis nccTrojan

Malware nccTrojan telah dikaitkan dengan TA428. Malah, ancaman itu nampaknya dibangunkan secara aktif oleh penyerang. Pemasangan ancaman pada peranti yang dilanggar bermula dengan memuat turun beberapa fail daripada pelayan Command-and-Control (C2, C&C). Boleh laku dihantar dalam bentuk fail .cab dengan nama sewenang-wenangnya. Utiliti sistem kembangkan diperlukan untuk membongkar fail yang dihantar ke dalam direktori sedia ada kepunyaan produk perisian yang sah. Selain itu, penggodam juga menggugurkan komponen pemasang khas yang ditugaskan untuk mendaftarkan DLL nccTrojan sebagai perkhidmatan. Melakukannya memastikan bahawa ancaman akan dimuatkan secara automatik pada setiap permulaan sistem.

Selepas menjadi aktif, modul utama nccTrojan akan cuba mewujudkan hubungan dengan senarai alamat C2 berkod keras. Semua komunikasi seterusnya akan dihantar ke pelayan yang bertindak balas terlebih dahulu. Semasa hubungan awal, ancaman itu juga menghantar pelbagai maklumat umum tentang sistem yang dilanggar, seperti nama komputer, alamat IP, nama pengguna, versi perisian hasad, data penyetempatan sistem dan banyak lagi. NccTrojan juga menyediakan penyerang dengan fungsi pintu belakang, keupayaan untuk melaksanakan arahan, melancarkan fail boleh laku, membunuh proses terpilih, memanipulasi sistem fail, mengambil muatan tambahan daripada C2 dan banyak lagi.