NccTrojan
nccTrojan खतरा TA428 को रूपमा चिनिने चिनियाँ-समर्थित APT (Advanced Persistent Threat) समूह द्वारा गरिएको विश्वास गरिएको आक्रमणको श्रृंखलामा प्रयोग गरिएको छ। साइबर अपराधीहरूले धेरै पूर्वी युरोपेली देशहरू र अफगानिस्तानमा अवस्थित सैन्य-सम्बन्धित उद्यमहरू र सार्वजनिक संस्थानहरूलाई निशाना बनाउँदैछन्। धम्की दिने अभियानहरूको लक्ष्य डाटा सङ्कलन र साइबर जासुसी जस्तो देखिन्छ, धम्की दिने व्यक्तिहरूले उल्लंघन गरिएका मेसिनहरूमा छवटा फरक मालवेयर धम्कीहरू छोडेका छन्।
यन्त्रहरूमा प्रारम्भिक पहुँच उच्च-लक्षित भाला-फिसिङ अभियानहरू मार्फत प्राप्त गरिन्छ। TA428 ह्याकरहरूले विशेष संगठनहरू विरुद्ध प्रयोग गर्नको लागि अनुकूलन लुयर इमेलहरू बनाउँछन्। केही फिसिङ इमेलहरूमा सार्वजनिक रूपमा उपलब्ध नभएको गोप्य वा निजी जानकारी पनि समावेश हुन्छ। जब पीडितहरूले प्रलोभन इमेलहरूमा संलग्न हतियारयुक्त Word कागजातहरू कार्यान्वयन गर्छन्, यसले CVE-2017-11882 जोखिमको शोषण गर्ने भ्रष्ट कोड ट्रिगर गर्दछ। आक्रमण र ह्याकरहरूको हानिकारक हतियारको विवरण सुरक्षा अनुसन्धानकर्ताहरूको रिपोर्टमा जारी गरिएको थियो।
nccTrojan को विश्लेषण
nccTrojan मालवेयर पहिले नै TA428 मा एट्रिब्यूट गरिएको छ। वास्तवमा, खतरा सक्रिय रूपमा आक्रमणकारीहरूद्वारा विकसित भएको देखिन्छ। उल्लङ्घन गरिएको यन्त्रमा खतराको स्थापना कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरबाट धेरै फाइलहरूको डाउनलोडबाट सुरु हुन्छ। निष्पादन योग्य एक स्वेच्छाचारी नाम संग .cab फाइल को रूप मा डेलिभर गरिएको छ। डेलिभर गरिएको फाइललाई वैध सफ्टवेयर उत्पादनसँग सम्बन्धित अवस्थित डाइरेक्टरीमा अनप्याक गर्न प्रणाली उपयोगिता विस्तार गर्न आवश्यक छ। थप रूपमा, ह्याकरहरूले nccTrojan's DLL लाई सेवाको रूपमा दर्ता गर्ने विशेष स्थापनाकर्ता कम्पोनेन्ट पनि छोड्छन्। त्यसो गर्दा प्रत्येक प्रणाली स्टार्टअपमा खतरा स्वतः लोड हुनेछ भनी सुनिश्चित गर्दछ।
सक्रिय भएपछि, nccTrojan को मुख्य मोड्युलले हार्डकोड गरिएको C2 ठेगानाहरूको सूचीसँग सम्पर्क स्थापित गर्ने प्रयास गर्नेछ। सबै पछिको सञ्चारलाई पहिले प्रतिक्रिया दिने सर्भरमा पठाइनेछ। प्रारम्भिक सम्पर्कको बखत, धम्कीले उल्लङ्घन गरिएको प्रणालीको बारेमा विभिन्न सामान्य जानकारीहरू पठाउँछ, जस्तै कम्प्युटर नाम, आईपी ठेगाना, प्रयोगकर्ता नाम, मालवेयर संस्करण, प्रणाली स्थानीयकरण डाटा र थप। nccTrojan ले आक्रमणकारीहरूलाई ब्याकडोर कार्यक्षमता, आदेशहरू कार्यान्वयन गर्ने क्षमता, कार्यान्वयनयोग्य फाइलहरू सुरु गर्ने, चयन प्रक्रियाहरू मार्ने, फाइल प्रणालीलाई हेरफेर गर्ने, C2 बाट थप पेलोडहरू ल्याउने र थप कुराहरू पनि प्रदान गर्दछ।
