NccTrojan

nccTrojan-hotet har använts i en serie attacker som tros ha utförts av en kinesisk-stödd APT-grupp (Advanced Persistent Threat) känd som TA428. De cyberbrottslingar riktar sig mot militärrelaterade företag och offentliga institutioner i flera östeuropeiska länder och Afghanistan. Målet med de hotfulla kampanjerna verkar vara datainsamling och cyberspionage, där hotaktörerna släpper sex olika malware-hot på de intrångade maskinerna.

Initial åtkomst till enheterna uppnås genom mycket riktade spjutfiskekampanjer. TA428-hackarna skapar skräddarsydda lockmeddelanden som ska användas mot specifika organisationer. Vissa nätfiske-e-postmeddelanden innehöll till och med konfidentiell eller privat information som inte är allmänt tillgänglig. När offren exekverar de beväpnade Word-dokumenten som bifogas e-postmeddelandena med lockbete, utlöser det en skadad kod som utnyttjar sårbarheten CVE-2017-11882. Detaljer om attackerna och hackarnas sårande arsenal släpptes i en rapport från säkerhetsforskare.

Analys av nccTrojan

Skadlig programvara nccTrojan har redan tillskrivits TA428. Faktum är att hotet verkar vara aktivt utvecklat av angriparna. Installationen av hotet på den brutna enheten börjar med nedladdning av flera filer från Command-and-Control-servern (C2, C&C). Den körbara filen levereras i form av en .cab-fil med ett godtyckligt namn. Expandera systemverktyget behövs för att packa upp den levererade filen till en befintlig katalog som tillhör en legitim mjukvaruprodukt. Dessutom släpper hackarna också en speciell installationskomponent med uppgift att registrera nccTrojans DLL som en tjänst. Om du gör det säkerställer du att hotet laddas automatiskt vid varje systemstart.

Efter att ha blivit aktiv kommer huvudmodulen i nccTrojan att försöka etablera kontakt med en lista med hårdkodade C2-adresser. All efterföljande kommunikation kommer att överföras till servern som svarar först. Under den första kontakten skickar hotet också olika allmän information om det intrångade systemet, såsom datornamn, IP-adress, användarnamn, malware-version, systemlokaliseringsdata med mera. nccTrojan förser även angriparna med bakdörrsfunktionalitet, förmågan att köra kommandon, starta körbara filer, döda utvalda processer, manipulera filsystemet, hämta ytterligare nyttolaster från C2 och mer.