nccTrojan

De nccTrojan-dreiging is gebruikt in een reeks aanvallen waarvan wordt aangenomen dat ze zijn uitgevoerd door een door China gesteunde APT-groep (Advanced Persistent Threat), bekend als TA428. De cybercriminelen richten zich op militair gerelateerde bedrijven en openbare instellingen in verschillende Oost-Europese landen en Afghanistan. Het doel van de bedreigende campagnes lijkt het verzamelen van gegevens en cyberspionage te zijn, waarbij de bedreigingsactoren zes verschillende malwarebedreigingen op de gehackte machines laten vallen.

De eerste toegang tot de apparaten wordt bereikt door middel van zeer gerichte spear-phishing-campagnes. De TA428-hackers maken aangepaste e-mails met lokken die tegen specifieke organisaties kunnen worden gebruikt. Sommige phishing-e-mails bevatten zelfs vertrouwelijke of privé-informatie die niet openbaar beschikbaar is. Wanneer slachtoffers de bewapende Word-documenten uitvoeren die bij de e-mails zijn gevoegd, wordt een beschadigde code geactiveerd die misbruik maakt van de CVE-2017-11882-kwetsbaarheid. Details over de aanvallen en het pijnlijke arsenaal van de hackers werden vrijgegeven in een rapport van beveiligingsonderzoekers.

Analyse van nccTrojan

De nccTrojan-malware is al toegeschreven aan TA428. In feite lijkt de dreiging actief te worden ontwikkeld door de aanvallers. De installatie van de dreiging op het gehackte apparaat begint met het downloaden van verschillende bestanden van de Command-and-Control (C2, C&C)-server. Het uitvoerbare bestand wordt geleverd in de vorm van een .cab-bestand met een willekeurige naam. Het systeemuitbreidingshulpprogramma is nodig om het geleverde bestand uit te pakken in een bestaande map die bij een legitiem softwareproduct hoort. Bovendien laten de hackers ook een speciaal installatieonderdeel vallen dat belast is met het registreren van de DLL van nccTrojan als een service. Als u dit doet, zorgt u ervoor dat de dreiging automatisch wordt geladen bij elke systeemstart.

Nadat de hoofdmodule van nccTrojan actief is geworden, zal hij proberen contact te maken met een lijst met hardgecodeerde C2-adressen. Alle volgende communicatie wordt verzonden naar de server die als eerste reageert. Tijdens het eerste contact verzendt de dreiging ook verschillende algemene informatie over het gehackte systeem, zoals de computernaam, het IP-adres, de gebruikersnaam, de malwareversie, systeemlokalisatiegegevens en meer. De nccTrojan biedt de aanvallers ook backdoor-functionaliteit, de mogelijkheid om commando's uit te voeren, uitvoerbare bestanden te starten, geselecteerde processen te doden, het bestandssysteem te manipuleren, extra payloads van de C2 op te halen en meer.

Trending

Meest bekeken

Bezig met laden...