NccTrojan

Hrozba nccTrojan bola použitá v sérii útokov, o ktorých sa predpokladá, že ich vykonala Čínou podporovaná skupina APT (Advanced Persistent Threat) známa ako TA428. Kyberzločinci sa zameriavajú na vojenské podniky a verejné inštitúcie nachádzajúce sa vo viacerých krajinách východnej Európy a Afganistane. Zdá sa, že cieľom hrozivých kampaní je zhromažďovanie údajov a kybernetická špionáž, pričom aktéri hrozieb umiestnia na napadnuté počítače šesť rôznych malvérových hrozieb.

Počiatočný prístup k zariadeniam je dosiahnutý prostredníctvom vysoko cielených kampaní typu spear-phishing. Hackeri TA428 vytvárajú vlastné návnadové e-maily, ktoré sa majú použiť proti konkrétnym organizáciám. Niektoré phishingové e-maily dokonca obsahovali dôverné alebo súkromné informácie, ktoré nie sú verejne dostupné. Keď obete spustia zbraňové dokumenty Word pripojené k e-mailom s návnadou, spustí sa poškodený kód využívajúci zraniteľnosť CVE-2017-11882. Podrobnosti o útokoch a škodlivom arzenáli hackerov boli zverejnené v správe bezpečnostných výskumníkov.

Analýza nccTrojan

Malvér nccTrojan už bol pripísaný TA428. V skutočnosti sa zdá, že hrozba je aktívne vyvinutá útočníkmi. Inštalácia hrozby na napadnuté zariadenie začína stiahnutím niekoľkých súborov zo servera Command-and-Control (C2, C&C). Spustiteľný súbor sa dodáva vo forme súboru .cab s ľubovoľným názvom. Rozbaliť systémový nástroj je potrebný na rozbalenie dodaného súboru do existujúceho adresára, ktorý patrí legitímnemu softvérovému produktu. Okrem toho hackeri vypustia aj špeciálny inštalačný komponent, ktorého úlohou je registrovať nccTrojan DLL ako službu. Tým sa zabezpečí, že hrozba sa načíta automaticky pri každom spustení systému.

Po aktivácii sa hlavný modul nccTrojan pokúsi nadviazať kontakt so zoznamom pevne zakódovaných adries C2. Všetka následná komunikácia sa prenesie na server, ktorý odpovie ako prvý. Pri prvotnom kontakte hrozba odošle aj rôzne všeobecné informácie o narušenom systéme, ako je názov počítača, IP adresa, meno používateľa, verzia malvéru, údaje o lokalizácii systému a ďalšie. NccTrojan tiež poskytuje útočníkom funkciu zadných vrátok, schopnosť vykonávať príkazy, spúšťať spustiteľné súbory, zabíjať vybrané procesy, manipulovať so súborovým systémom, získavať ďalšie užitočné zaťaženia z C2 a ďalšie.