NccTrojan

Угроза nccTrojan использовалась в серии атак, предположительно осуществленных поддерживаемой Китаем группой APT (Advanced Persistent Threat), известной как TA428. Киберпреступники нацелены на военные предприятия и государственные учреждения, расположенные в нескольких странах Восточной Европы и Афганистане. Целью кампаний угроз, по-видимому, является сбор данных и кибершпионаж, при этом злоумышленники сбрасывают на взломанные машины шесть различных вредоносных программ.

Первоначальный доступ к устройствам достигается с помощью целенаправленных фишинговых кампаний. Хакеры TA428 создают специальные электронные письма-приманки, которые используются против определенных организаций. Некоторые фишинговые электронные письма даже содержали конфиденциальную или личную информацию, которая не является общедоступной. Когда жертвы запускают вооруженные документы Word, прикрепленные к электронным письмам-приманкам, это запускает поврежденный код, использующий уязвимость CVE-2017-11882. Подробности об атаках и вредоносном арсенале хакеров были опубликованы в отчете исследователей безопасности.

Анализ nccTrojan

Вредоносную программу nccTrojan уже связывали с TA428. На самом деле угроза, похоже, активно разрабатывается злоумышленниками. Установка угрозы на взломанное устройство начинается со скачивания нескольких файлов с сервера Command-and-Control (C2, C&C). Исполняемый файл поставляется в виде CAB-файла с произвольным именем. Системная утилита expand необходима для распаковки доставленного файла в существующую директорию, принадлежащую легитимному программному продукту. Кроме того, хакеры также сбрасывают специальный компонент установщика, которому поручено регистрировать DLL nccTrojan в качестве службы. Это гарантирует, что угроза будет загружаться автоматически при каждом запуске системы.

Став активным, основной модуль nccTrojan попытается установить контакт со списком жестко заданных адресов C2. Все последующие сообщения будут передаваться на тот сервер, который ответит первым. Во время первоначального контакта угроза также отправляет различную общую информацию о взломанной системе, такую как имя компьютера, IP-адрес, имя пользователя, версию вредоносного ПО, данные локализации системы и многое другое. nccTrojan также предоставляет злоумышленникам бэкдор, возможность выполнять команды, запускать исполняемые файлы, убивать выбранные процессы, манипулировать файловой системой, получать дополнительные полезные данные от C2 и многое другое.