NccTrojan
ภัยคุกคาม nccTrojan ถูกใช้ในชุดของการโจมตีที่เชื่อว่าดำเนินการโดยกลุ่ม APT (Advanced Persistent Threat) ที่ได้รับการสนับสนุนจากจีน ซึ่งรู้จักกันในชื่อ TA428 อาชญากรไซเบอร์มุ่งเป้าไปที่องค์กรที่เกี่ยวข้องกับการทหารและสถาบันสาธารณะที่ตั้งอยู่ในหลายประเทศในยุโรปตะวันออกและอัฟกานิสถาน เป้าหมายของแคมเปญที่คุกคามดูเหมือนจะเป็นการรวบรวมข้อมูลและการจารกรรมทางไซเบอร์ โดยผู้คุกคามทิ้งภัยคุกคามมัลแวร์ที่แตกต่างกันหกรายการในเครื่องที่ถูกเจาะ
การเข้าถึงอุปกรณ์ในขั้นต้นทำได้โดยแคมเปญสเปียร์ฟิชชิ่งที่กำหนดเป้าหมายสูง แฮกเกอร์ TA428 สร้างอีเมลล่อแบบกำหนดเองเพื่อใช้กับองค์กรเฉพาะ อีเมลฟิชชิ่งบางฉบับมีข้อมูลที่เป็นความลับหรือข้อมูลส่วนตัวที่ไม่เปิดเผยต่อสาธารณะ เมื่อผู้ที่ตกเป็นเหยื่อดำเนินการเอกสาร Word ที่ติดอาวุธซึ่งแนบมากับอีเมลหลอกลวง จะเรียกใช้โค้ดที่เสียหายซึ่งใช้ประโยชน์จากช่องโหว่ CVE-2017-11882 รายละเอียดเกี่ยวกับการโจมตีและคลังแสงที่เป็นอันตรายของแฮ็กเกอร์ได้รับการเปิดเผยในรายงาน b นักวิจัยด้านความปลอดภัย
การวิเคราะห์ nccTrojan
มัลแวร์ nccTrojan มีสาเหตุมาจาก TA428 แล้ว ในความเป็นจริง ภัยคุกคามดูเหมือนจะได้รับการพัฒนาอย่างแข็งขันโดยผู้โจมตี การติดตั้งภัยคุกคามบนอุปกรณ์ที่ถูกละเมิดเริ่มต้นด้วยการดาวน์โหลดไฟล์หลายไฟล์จากเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ไฟล์ปฏิบัติการถูกส่งในรูปแบบของไฟล์ .cab ที่มีชื่อตามอำเภอใจ จำเป็นต้องใช้ยูทิลิตีระบบการขยายเพื่อแกะไฟล์ที่ส่งไปยังไดเร็กทอรีที่มีอยู่ซึ่งเป็นของผลิตภัณฑ์ซอฟต์แวร์ที่ถูกต้อง นอกจากนี้ แฮกเกอร์ยังปล่อยคอมโพเนนต์ตัวติดตั้งพิเศษที่มอบหมายให้ลงทะเบียน DLL ของ nccTrojan เป็นบริการ การทำเช่นนี้ทำให้มั่นใจได้ว่าภัยคุกคามจะถูกโหลดโดยอัตโนมัติทุกครั้งที่เริ่มต้นระบบ
หลังจากเปิดใช้งาน โมดูลหลักของ nccTrojan จะพยายามสร้างการติดต่อกับรายการที่อยู่ C2 แบบฮาร์ดโค้ด การสื่อสารที่ตามมาทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์ที่ตอบสนองก่อน ในระหว่างการติดต่อครั้งแรก ภัยคุกคามยังส่งข้อมูลทั่วไปต่างๆ เกี่ยวกับระบบที่ถูกละเมิด เช่น ชื่อคอมพิวเตอร์ ที่อยู่ IP ชื่อผู้ใช้ เวอร์ชันของมัลแวร์ ข้อมูลการแปลระบบ และอื่นๆ nccTrojan ยังมอบฟังก์ชันแบ็คดอร์ให้กับผู้โจมตี ความสามารถในการรันคำสั่ง เปิดไฟล์ปฏิบัติการ ฆ่ากระบวนการที่เลือก จัดการระบบไฟล์ ดึงข้อมูลเพย์โหลดเพิ่มเติมจาก C2 และอื่นๆ
