nccTrojan

TA428 అని పిలవబడే చైనీస్-మద్దతుగల APT (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) సమూహంచే నిర్వహించబడుతుందని నమ్ముతున్న దాడుల శ్రేణిలో nccTrojan ముప్పు ఉపయోగించబడింది. సైబర్ నేరగాళ్లు అనేక తూర్పు యూరోపియన్ దేశాలు మరియు ఆఫ్ఘనిస్తాన్‌లో ఉన్న సైనిక సంబంధిత సంస్థలు మరియు ప్రభుత్వ సంస్థలను లక్ష్యంగా చేసుకున్నారు. బెదిరింపు ప్రచారాల లక్ష్యం డేటా-సేకరణ మరియు సైబర్ గూఢచర్యం వలె కనిపిస్తుంది, బెదిరింపు నటులు ఉల్లంఘించిన మెషీన్‌లపై ఆరు వేర్వేరు మాల్వేర్ బెదిరింపులను వదులుతారు.

పరికరాలకు ప్రారంభ ప్రాప్యత అత్యంత-లక్ష్యంగా ఉన్న స్పియర్-ఫిషింగ్ ప్రచారాల ద్వారా సాధించబడుతుంది. TA428 హ్యాకర్లు నిర్దిష్ట సంస్థలకు వ్యతిరేకంగా ఉపయోగించడానికి అనుకూలమైన ఎర ఇమెయిల్‌లను రూపొందించారు. కొన్ని ఫిషింగ్ ఇమెయిల్‌లు పబ్లిక్‌గా అందుబాటులో లేని రహస్య లేదా ప్రైవేట్ సమాచారాన్ని కూడా కలిగి ఉంటాయి. బాధితులు ఎర ఇమెయిల్‌లకు జోడించిన ఆయుధ వర్డ్ డాక్యుమెంట్‌లను అమలు చేసినప్పుడు, అది CVE-2017-11882 దుర్బలత్వాన్ని ఉపయోగించుకునే పాడైన కోడ్‌ను ప్రేరేపిస్తుంది. దాడులు మరియు హ్యాకర్ల హానికరమైన ఆయుధాగారం గురించిన వివరాలు బి భద్రతా పరిశోధకుల నివేదికలో విడుదలయ్యాయి.

nccTrojan యొక్క విశ్లేషణ

nccTrojan మాల్వేర్ ఇప్పటికే TA428కి ఆపాదించబడింది. వాస్తవానికి, ముప్పు దాడి చేసేవారిచే చురుకుగా అభివృద్ధి చేయబడినట్లు కనిపిస్తోంది. ఉల్లంఘించిన పరికరంలో ముప్పు యొక్క ఇన్‌స్టాలేషన్ కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్ నుండి అనేక ఫైల్‌లను డౌన్‌లోడ్ చేయడంతో ప్రారంభమవుతుంది. ఎక్జిక్యూటబుల్ ఏకపక్ష పేరుతో .cab ఫైల్ రూపంలో పంపిణీ చేయబడుతుంది. డెలివరీ చేయబడిన ఫైల్‌ను చట్టబద్ధమైన సాఫ్ట్‌వేర్ ఉత్పత్తికి చెందిన ఇప్పటికే ఉన్న డైరెక్టరీలోకి అన్‌ప్యాక్ చేయడానికి ఎక్స్‌పాండ్ సిస్టమ్ యుటిలిటీ అవసరం. అదనంగా, హ్యాకర్లు nccTrojan యొక్క DLLని సేవగా నమోదు చేసే ప్రత్యేక ఇన్‌స్టాలర్ భాగాన్ని కూడా వదిలివేస్తారు. ఇలా చేయడం వల్ల ప్రతి సిస్టమ్ స్టార్టప్‌లో ముప్పు స్వయంచాలకంగా లోడ్ అవుతుందని నిర్ధారిస్తుంది.

యాక్టివ్ అయిన తర్వాత, nccTrojan యొక్క ప్రధాన మాడ్యూల్ హార్డ్‌కోడ్ C2 చిరునామాల జాబితాతో పరిచయాన్ని ఏర్పరచుకోవడానికి ప్రయత్నిస్తుంది. అన్ని తదుపరి కమ్యూనికేషన్ మొదట ప్రతిస్పందించే సర్వర్‌కు ప్రసారం చేయబడుతుంది. ప్రారంభ పరిచయం సమయంలో, బెదిరింపు కంప్యూటర్ పేరు, IP చిరునామా, వినియోగదారు పేరు, మాల్వేర్ వెర్షన్, సిస్టమ్ స్థానికీకరణ డేటా మరియు మరిన్ని వంటి ఉల్లంఘించిన సిస్టమ్ గురించి వివిధ సాధారణ సమాచారాన్ని కూడా పంపుతుంది. nccTrojan దాడి చేసేవారికి బ్యాక్‌డోర్ కార్యాచరణ, ఆదేశాలను అమలు చేయగల సామర్థ్యం, ఎక్జిక్యూటబుల్ ఫైల్‌లను ప్రారంభించడం, ఎంచుకున్న ప్రక్రియలను చంపడం, ఫైల్ సిస్టమ్‌ను మార్చడం, C2 నుండి అదనపు పేలోడ్‌లను పొందడం మరియు మరిన్నింటిని కూడా అందిస్తుంది.