NccTrojan

Zagrożenie nccTrojan zostało użyte w serii ataków, które prawdopodobnie zostały przeprowadzone przez wspieraną przez Chiny grupę APT (Advanced Persistent Threat) znaną jako TA428. Cyberprzestępcy biorą na cel przedsiębiorstwa wojskowe i instytucje publiczne zlokalizowane w kilku krajach Europy Wschodniej i Afganistanie. Wydaje się, że celem groźnych kampanii jest zbieranie danych i cyberszpiegostwo, a cyberprzestępcy upuszczają sześć różnych zagrożeń złośliwym oprogramowaniem na naruszone maszyny.

Wstępny dostęp do urządzeń uzyskuje się za pomocą wysoce ukierunkowanych kampanii typu spear-phishing. Hakerzy TA428 tworzą niestandardowe e-maile z przynętami, które mają być wykorzystywane przeciwko określonym organizacjom. Niektóre wiadomości phishingowe zawierały nawet poufne lub prywatne informacje, które nie są publicznie dostępne. Kiedy ofiary wykonują uzbrojone dokumenty Word dołączone do wiadomości e-mail z przynętą, uruchamiają uszkodzony kod wykorzystujący lukę CVE-2017-11882. Szczegóły dotyczące ataków i szkodliwego arsenału hakerów zostały ujawnione w raporcie przeprowadzonym przez badaczy bezpieczeństwa.

Analiza nccTrojan

Szkodliwe oprogramowanie nccTrojan zostało już przypisane do TA428. W rzeczywistości zagrożenie wydaje się być aktywnie rozwijane przez atakujących. Instalacja zagrożenia na złamanym urządzeniu rozpoczyna się od pobrania kilku plików z serwera Command-and-Control (C2, C&C). Plik wykonywalny jest dostarczany w postaci pliku .cab o dowolnej nazwie. Narzędzie systemowe expand jest potrzebne do rozpakowania dostarczonego pliku do istniejącego katalogu należącego do legalnego oprogramowania. Ponadto hakerzy upuszczają również specjalny komponent instalatora, którego zadaniem jest rejestracja DLL nccTrojan jako usługi. Dzięki temu zagrożenie będzie ładowane automatycznie przy każdym uruchomieniu systemu.

Po uaktywnieniu główny moduł nccTrojan będzie próbował nawiązać kontakt z listą zakodowanych na sztywno adresów C2. Cała późniejsza komunikacja będzie przesyłana do serwera, który odpowie jako pierwszy. Podczas pierwszego kontaktu zagrożenie wysyła również różne ogólne informacje o naruszonym systemie, takie jak nazwa komputera, adres IP, nazwa użytkownika, wersja złośliwego oprogramowania, dane lokalizacyjne systemu i inne. NccTrojan zapewnia również atakującym funkcjonalność backdoora, możliwość wykonywania poleceń, uruchamiania plików wykonywalnych, zabijania wybranych procesów, manipulowania systemem plików, pobierania dodatkowych ładunków z C2 i nie tylko.

Popularne

Najczęściej oglądane

Ładowanie...