nccTrojan

Претња нццТројан је коришћена у низу напада за које се верује да их је извела група АПТ (Адванцед Персистент Тхреат) коју подржава Кина, позната као ТА428. Сајбер криминалци гађају предузећа и јавне институције повезане са војском које се налазе у неколико источноевропских земаља и Авганистану. Чини се да је циљ претећих кампања прикупљање података и сајбер шпијунажа, при чему су актери претњи избацили шест различитих претњи малвера на проваљене машине.

Почетни приступ уређајима се постиже кроз високо циљане кампање спеар-пхисхинг. Хакери ТА428 креирају прилагођене е-поруке за мамац који ће се користити против одређених организација. Неке е-поруке за крађу идентитета чак су садржале поверљиве или приватне информације које нису јавно доступне. Када жртве изврше наоружане Ворд документе прикачене уз е-поруке мамца, то покреће оштећени код који искоришћава рањивост ЦВЕ-2017-11882. Детаљи о нападима и штетном арсеналу хакера објављени су у извештају б безбедносних истраживача.

Анализа нццТројан

Малвер нццТројан је већ приписан ТА428. У ствари, изгледа да су нападачи активно развијали претњу. Инсталација претње на оштећени уређај почиње преузимањем неколико датотека са сервера за команду и контролу (Ц2, Ц&Ц). Извршни фајл се испоручује у облику .цаб датотеке са произвољним именом. Системски услужни програм за проширење је потребан да би се испоручена датотека распаковала у постојећи директоријум који припада легитимном софтверском производу. Поред тога, хакери такође испуштају специјалну компоненту за инсталацију која има задатак да региструје нццТројан-ов ДЛЛ као услугу. На тај начин се осигурава да ће се претња аутоматски учитавати при сваком покретању система.

Након што постане активан, главни модул нццТројан-а ће покушати да успостави контакт са листом тврдо кодираних Ц2 адреса. Сва наредна комуникација ће се пренети на сервер који први одговори. Током иницијалног контакта, претња такође шаље различите опште информације о пробијеном систему, као што су назив рачунара, ИП адреса, корисничко име, верзија малвера, подаци о локализацији система и друго. нццТројан такође пружа нападачима бацкдоор функционалност, могућност извршавања команди, покретања извршних датотека, укидања одабраних процеса, манипулације системом датотека, преузимања додатних корисних података са Ц2 и још много тога.

У тренду

Најгледанији

Учитавање...