NccTrojan

Amenințarea nccTrojan a fost folosită într-o serie de atacuri despre care se crede că ar fi efectuate de un grup APT (Advanced Persistent Threat) susținut de chinezi, cunoscut sub numele de TA428. Infractorii cibernetici vizează întreprinderile militare și instituțiile publice situate în mai multe țări din Europa de Est și Afganistan. Scopul campaniilor de amenințări pare să fie colectarea de date și spionajul cibernetic, actorii amenințărilor eliminând șase amenințări diferite de malware pe mașinile sparte.

Accesul inițial la dispozitive se realizează prin campanii de spear-phishing foarte bine direcționate. Hackerii TA428 creează e-mailuri personalizate pentru a fi folosite împotriva unor organizații specifice. Unele e-mailuri de tip phishing chiar conțineau informații confidențiale sau private care nu sunt disponibile public. Atunci când victimele execută documentele Word atașate la e-mailurile cu momeală, acesta declanșează un cod corupt care exploatează vulnerabilitatea CVE-2017-11882. Detalii despre atacuri și arsenalul vătămător al hackerilor au fost publicate într-un raport al cercetătorilor de securitate.

Analiza nccTrojan

Malware-ul nccTrojan a fost deja atribuit TA428. De fapt, amenințarea pare să fie dezvoltată în mod activ de către atacatori. Instalarea amenințării pe dispozitivul încălcat începe cu descărcarea mai multor fișiere de pe serverul Command-and-Control (C2, C&C). Executabilul este livrat sub forma unui fișier .cab cu un nume arbitrar. Utilitarul de extindere a sistemului este necesar pentru a despacheta fișierul livrat într-un director existent aparținând unui produs software legitim. În plus, hackerii renunță și la o componentă specială de instalare însărcinată cu înregistrarea DLL-ului nccTrojan ca serviciu. Acest lucru asigură că amenințarea va fi încărcată automat la fiecare pornire a sistemului.

După ce devine activ, modulul principal al nccTrojan va încerca să stabilească contactul cu o listă de adrese C2 codificate. Toate comunicările ulterioare vor fi transmise serverului care răspunde primul. În timpul contactului inițial, amenințarea trimite și diverse informații generale despre sistemul încălcat, cum ar fi numele computerului, adresa IP, numele utilizatorului, versiunea malware, datele de localizare a sistemului și multe altele. De asemenea, nccTrojan oferă atacatorilor funcționalitate backdoor, capacitatea de a executa comenzi, de a lansa fișiere executabile, de a ucide procesele de selectare, de a manipula sistemul de fișiere, de a prelua încărcături suplimentare din C2 și multe altele.