nccTrojan

Kërcënimi nccTrojan është përdorur në një seri sulmesh që besohet se janë kryer nga një grup APT (Kërcënimi i Përparuar i Përparuar) i mbështetur nga Kina, i njohur si TA428. Kriminelët kibernetikë synojnë ndërmarrjet ushtarake dhe institucionet publike të vendosura në disa vende të Evropës Lindore dhe Afganistan. Qëllimi i fushatave kërcënuese duket të jetë mbledhja e të dhënave dhe spiunazhi kibernetik, me aktorët e kërcënimit që hedhin gjashtë kërcënime të ndryshme malware në makinat e shkelura.

Qasja fillestare në pajisjet arrihet përmes fushatave të phishing me shtiza të synuara shumë. Hakerët TA428 krijojnë emaile joshëse me porosi për t'u përdorur kundër organizatave specifike. Disa emaile phishing madje përmbanin informacione konfidenciale ose private që nuk janë të disponueshme publikisht. Kur viktimat ekzekutojnë dokumentet e armatosura të Word-it të bashkangjitura në email-et e joshjes, ai shkakton një kod të korruptuar që shfrytëzon cenueshmërinë CVE-2017-11882. Detaje rreth sulmeve dhe arsenalit lëndues të hakerëve u publikuan në një raport nga studiuesit e sigurisë.

Analiza e nccTrojan

Malware-i nccTrojan i është atribuar tashmë TA428. Në fakt, kërcënimi duket se zhvillohet në mënyrë aktive nga sulmuesit. Instalimi i kërcënimit në pajisjen e shkelur fillon me shkarkimin e disa skedarëve nga serveri Command-and-Control (C2, C&C). Ekzekutuesi dorëzohet në formën e një skedari .cab me një emër arbitrar. Programi i zgjerimit të sistemit është i nevojshëm për të shpaketuar skedarin e dorëzuar në një drejtori ekzistuese që i përket një produkti të ligjshëm softuer. Përveç kësaj, hakerët lëshojnë gjithashtu një komponent të veçantë instalues të ngarkuar me regjistrimin e DLL të nccTrojan si shërbim. Kjo siguron që kërcënimi do të ngarkohet automatikisht në çdo nisje të sistemit.

Pasi të bëhet aktiv, moduli kryesor i nccTrojan do të përpiqet të krijojë kontakt me një listë të adresave të koduara C2. I gjithë komunikimi i mëpasshëm do t'i transmetohet serverit që përgjigjet i pari. Gjatë kontaktit fillestar, kërcënimi dërgon gjithashtu informacione të ndryshme të përgjithshme rreth sistemit të shkelur, si emri i kompjuterit, adresa IP, emri i përdoruesit, versioni i malware, të dhënat e lokalizimit të sistemit dhe më shumë. nccTrojan gjithashtu u siguron sulmuesve funksionalitetin e backdoor, aftësinë për të ekzekutuar komanda, për të lëshuar skedarë të ekzekutueshëm, për të vrarë procese të zgjedhura, për të manipuluar sistemin e skedarëve, për të marrë ngarkesa shtesë nga C2 dhe më shumë.