NccTrojan

Grožnja nccTrojan je bila uporabljena v seriji napadov, ki naj bi jih izvedla skupina APT (Advanced Persistent Threat), znana kot TA428, ki jo podpira Kitajska. Kibernetski kriminalci ciljajo na podjetja, povezana z vojsko, in javne ustanove v več vzhodnoevropskih državah in Afganistanu. Zdi se, da je cilj grozečih kampanj zbiranje podatkov in kibernetsko vohunjenje, pri čemer akterji groženj na vdrete stroje spustijo šest različnih groženj zlonamerne programske opreme.

Začetni dostop do naprav je dosežen z visoko ciljanimi kampanjami lažnega predstavljanja. Hekerji TA428 oblikujejo vabljiva e-poštna sporočila po meri, ki se uporabljajo proti določenim organizacijam. Nekatera e-poštna sporočila z lažnim predstavljanjem so celo vsebovala zaupne ali zasebne podatke, ki niso javno dostopni. Ko žrtve izvedejo oborožene Wordove dokumente, priložene vabljivim e-poštnim sporočilom, to sproži poškodovano kodo, ki izkorišča ranljivost CVE-2017-11882. Podrobnosti o napadih in škodljivem arzenalu hekerjev so bile objavljene v poročilu varnostnih raziskovalcev.

Analiza nccTrojan

Zlonamerna programska oprema nccTrojan je že bila pripisana TA428. Pravzaprav se zdi, da grožnjo napadalci aktivno razvijajo. Namestitev grožnje na poškodovano napravo se začne s prenosom več datotek s strežnika Command-and-Control (C2, C&C). Izvedljiva datoteka je dostavljena v obliki datoteke .cab s poljubnim imenom. Sistemski pripomoček za razširitev je potreben za razpakiranje dostavljene datoteke v obstoječi imenik, ki pripada zakonitemu programskemu izdelku. Poleg tega hekerji izpustijo tudi posebno komponento namestitvenega programa, ki ima nalogo registrirati DLL nccTrojan kot storitev. S tem zagotovite, da se bo grožnja samodejno naložila ob vsakem zagonu sistema.

Ko postane aktiven, bo glavni modul nccTrojan poskušal vzpostaviti stik s seznamom trdo kodiranih naslovov C2. Vsa nadaljnja komunikacija bo posredovana strežniku, ki se prvi odzove. Med prvim stikom grožnja pošlje tudi različne splošne informacije o vdretem sistemu, kot so ime računalnika, naslov IP, uporabniško ime, različica zlonamerne programske opreme, podatki o lokalizaciji sistema in drugo. Trojanec ncc napadalcem ponuja tudi funkcionalnost zakulisnih vrat, možnost izvajanja ukazov, zagona izvršljivih datotek, uničenja izbranih procesov, manipulacije datotečnega sistema, pridobivanja dodatnih koristnih podatkov iz C2 in več.