NccTrojan

TA428 என அழைக்கப்படும் சீன ஆதரவு APT (மேம்பட்ட பெர்சிஸ்டண்ட் த்ரெட்) குழுவால் நடத்தப்படும் என நம்பப்படும் தொடர்ச்சியான தாக்குதல்களில் nccTrojan அச்சுறுத்தல் பயன்படுத்தப்பட்டது. சைபர் கிரைமினல்கள் பல கிழக்கு ஐரோப்பிய நாடுகள் மற்றும் ஆப்கானிஸ்தானில் அமைந்துள்ள ராணுவம் தொடர்பான நிறுவனங்கள் மற்றும் பொது நிறுவனங்களை குறிவைத்து வருகின்றனர். அச்சுறுத்தும் பிரச்சாரங்களின் குறிக்கோள் தரவு சேகரிப்பு மற்றும் இணைய உளவு பார்ப்பது போல் தோன்றுகிறது, அச்சுறுத்தல் நடிகர்கள் மீறப்பட்ட கணினிகளில் ஆறு வெவ்வேறு தீம்பொருள் அச்சுறுத்தல்களை கைவிடுகின்றனர்.

அதிக இலக்கு கொண்ட ஈட்டி-ஃபிஷிங் பிரச்சாரங்கள் மூலம் சாதனங்களுக்கான ஆரம்ப அணுகல் அடையப்படுகிறது. TA428 ஹேக்கர்கள் குறிப்பிட்ட நிறுவனங்களுக்கு எதிராகப் பயன்படுத்த தனிப்பயன் கவர்ச்சி மின்னஞ்சல்களை உருவாக்குகிறார்கள். சில ஃபிஷிங் மின்னஞ்சல்களில் பொதுவில் கிடைக்காத ரகசிய அல்லது தனிப்பட்ட தகவல்களும் உள்ளன. பாதிக்கப்பட்டவர்கள் கவர்ந்திழுக்கும் மின்னஞ்சல்களுடன் இணைக்கப்பட்ட ஆயுதமேந்திய வேர்ட் ஆவணங்களைச் செயல்படுத்தும்போது, அது CVE-2017-11882 பாதிப்பைப் பயன்படுத்தி சிதைந்த குறியீட்டைத் தூண்டுகிறது. தாக்குதல்கள் மற்றும் ஹேக்கர்களின் காயப்படுத்தும் ஆயுதங்கள் பற்றிய விவரங்கள் b பாதுகாப்பு ஆய்வாளர்களின் அறிக்கையில் வெளியிடப்பட்டுள்ளன.

nccTrojan பகுப்பாய்வு

nccTrojan தீம்பொருள் ஏற்கனவே TA428 க்குக் காரணம் கூறப்பட்டுள்ளது. உண்மையில், அச்சுறுத்தல் தாக்குபவர்களால் தீவிரமாக உருவாக்கப்பட்டதாகத் தெரிகிறது. மீறப்பட்ட சாதனத்தில் அச்சுறுத்தலை நிறுவுவது கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகத்திலிருந்து பல கோப்புகளைப் பதிவிறக்குவதன் மூலம் தொடங்குகிறது. இயங்கக்கூடியது தன்னிச்சையான பெயருடன் .cab கோப்பு வடிவத்தில் வழங்கப்படுகிறது. முறையான மென்பொருள் தயாரிப்பிற்குச் சொந்தமான கோப்பகத்தில் டெலிவரி செய்யப்பட்ட கோப்பைத் திறக்க விரிவாக்க அமைப்பு பயன்பாடு தேவை. கூடுதலாக, ஹேக்கர்கள் nccTrojan இன் DLL ஐ ஒரு சேவையாகப் பதிவுசெய்யும் ஒரு சிறப்பு நிறுவி கூறுகளையும் கைவிடுகின்றனர். அவ்வாறு செய்வது ஒவ்வொரு கணினி தொடக்கத்திலும் அச்சுறுத்தல் தானாகவே ஏற்றப்படும் என்பதை உறுதி செய்கிறது.

செயலில் ஆன பிறகு, nccTrojan இன் முக்கிய தொகுதியானது ஹார்ட்கோட் செய்யப்பட்ட C2 முகவரிகளின் பட்டியலுடன் தொடர்பை ஏற்படுத்த முயற்சிக்கும். அனைத்து அடுத்தடுத்த தகவல்தொடர்புகளும் முதலில் பதிலளிக்கும் சேவையகத்திற்கு அனுப்பப்படும். ஆரம்ப தொடர்பின் போது, கணினியின் பெயர், IP முகவரி, பயனர் பெயர், தீம்பொருள் பதிப்பு, கணினி உள்ளூர்மயமாக்கல் தரவு மற்றும் பல போன்ற மீறப்பட்ட கணினி பற்றிய பல்வேறு பொதுவான தகவல்களையும் அச்சுறுத்தல் அனுப்புகிறது. nccTrojan தாக்குபவர்களுக்கு பின்கதவு செயல்பாடு, கட்டளைகளை இயக்கும் திறன், இயங்கக்கூடிய கோப்புகளைத் தொடங்குதல், தேர்ந்தெடுக்கப்பட்ட செயல்முறைகளைக் கொல்லுதல், கோப்பு முறைமையைக் கையாளுதல், C2 இலிருந்து கூடுதல் பேலோடுகளைப் பெறுதல் மற்றும் பலவற்றையும் வழங்குகிறது.