NccTrojan

A ameaça nccTrojan foi usada em uma série de ataques que se acredita serem realizados por um grupo APT (Advanced Persistent Threat) apoiado pela China, conhecido como TA428. Os cibercriminosos têm como alvo empresas militares e instituições públicas localizadas em vários países da Europa Oriental e no Afeganistão. O objetivo das campanhas ameaçadoras parece ser a coleta de dados e a espionagem cibernética, com os agentes de ameaças lançando seis ameaças de malware diferentes nas máquinas violadas.

O acesso inicial aos dispositivos é obtido por meio de campanhas de spear phishing altamente direcionadas. Os hackers do TA428 criam e-mails de isca personalizados para serem usados contra organizações específicas. Alguns e-mails de phishing continham informações confidenciais ou privadas que não estão disponíveis publicamente. Quando as vítimas executam os documentos do Word como armas anexados aos e-mails de atração, ele aciona um código corrompido que explora a vulnerabilidade CVE-2017-11882. Detalhes sobre os ataques e o arsenal prejudicial dos hackers foram divulgados em um relatório de pesquisadores de segurança.

Análise do nccTrojan

O malware nccTrojan já foi atribuído ao TA428. Na verdade, a ameaça parece estar sendo desenvolvida ativamente pelos invasores. A instalação da ameaça no dispositivo violado começa com o download de vários arquivos do servidor de Comando-e-Controle (C2, C&C). O executável é entregue na forma de um arquivo .cab com um nome arbitrário. O utilitário de expansão do sistema é necessário para descompactar o arquivo entregue em um diretório existente pertencente a um produto de software legítimo. Além disso, os hackers também descartam um componente instalador especial encarregado de registrar a DLL do nccTrojan como um serviço. Isso garante que a ameaça seja carregada automaticamente em cada inicialização do sistema.

Depois de se tornar ativo, o módulo principal do nccTrojan tentará estabelecer contato com uma lista de endereços C2 codificados. Todas as comunicações subsequentes serão transmitidas ao servidor que responder primeiro. Durante o contato inicial, a ameaça também envia várias informações gerais sobre o sistema violado, como nome do computador, endereço IP, nome de usuário, versão do malware, dados de localização do sistema e muito mais. O nccTrojan também fornece aos invasores a funcionalidade de backdoor, a capacidade de executar comandos, iniciar arquivos executáveis, eliminar processos selecionados, manipular o sistema de arquivos, buscar cargas adicionais do C2 e muito mais.