NccTrojan

nccTrojan-trusselen har blitt brukt i en rekke angrep som antas å være utført av en kinesisk-støttet APT-gruppe (Advanced Persistent Threat) kjent som TA428. De nettkriminelle retter seg mot militærrelaterte virksomheter og offentlige institusjoner lokalisert i flere østeuropeiske land og Afghanistan. Målet med de truende kampanjene ser ut til å være datainnsamling og cyberspionasje, med trusselaktørene som dropper seks forskjellige malware-trusler på de brutte maskinene.

Innledende tilgang til enhetene oppnås gjennom svært målrettede spyd-phishing-kampanjer. TA428-hackerne lager tilpassede lokke-e-poster som skal brukes mot spesifikke organisasjoner. Noen phishing-e-poster inneholdt til og med konfidensiell eller privat informasjon som ikke er offentlig tilgjengelig. Når ofre utfører de bevæpnede Word-dokumentene som er knyttet til lokke-e-postene, utløser det en ødelagt kode som utnytter CVE-2017-11882-sårbarheten. Detaljer om angrepene og det sårende arsenalet til hackerne ble offentliggjort i en rapport b sikkerhetsforskere.

Analyse av nccTrojan

nccTrojan-malwaren har allerede blitt tilskrevet TA428. Faktisk ser det ut til at trusselen er aktivt utviklet av angriperne. Installasjonen av trusselen på den brutte enheten begynner med nedlasting av flere filer fra Command-and-Control-serveren (C2, C&C). Den kjørbare filen leveres i form av en .cab-fil med et vilkårlig navn. Systemverktøyet for utvidelse er nødvendig for å pakke ut den leverte filen i en eksisterende katalog som tilhører et legitimt programvareprodukt. I tillegg slipper hackerne også en spesiell installasjonskomponent som har i oppgave å registrere nccTrojans DLL som en tjeneste. Å gjøre det sikrer at trusselen lastes automatisk ved hver systemoppstart.

Etter å ha blitt aktiv, vil hovedmodulen til nccTrojan forsøke å etablere kontakt med en liste over hardkodede C2-adresser. All etterfølgende kommunikasjon vil bli overført til serveren som svarer først. Under den første kontakten sender trusselen også diverse generell informasjon om systemet som brytes, for eksempel datamaskinens navn, IP-adresse, brukernavn, malware-versjon, systemlokaliseringsdata og mer. nccTrojan gir også angriperne bakdørsfunksjonalitet, muligheten til å utføre kommandoer, starte kjørbare filer, drepe utvalgte prosesser, manipulere filsystemet, hente ytterligere nyttelast fra C2 og mer.