NccTrojan
Ang banta ng nccTrojan ay ginamit sa isang serye ng mga pag-atake na pinaniniwalaang isinasagawa ng isang grupong APT (Advanced Persistent Threat) na suportado ng China na kilala bilang TA428. Ang mga cybercriminal ay nagta-target sa mga negosyong nauugnay sa militar at pampublikong institusyon na matatagpuan sa ilang mga bansa sa Silangang Europa at Afghanistan. Ang layunin ng mga nagbabantang kampanya ay lumilitaw na pagkolekta ng data at cyber espionage, kung saan ang mga aktor ng banta ay nag-drop ng anim na magkakaibang banta ng malware sa mga nilabag na makina.
Ang paunang pag-access sa mga device ay nakakamit sa pamamagitan ng napaka-target na spear-phishing na kampanya. Ang TA428 hackers ay gumagawa ng mga custom na pang-akit na email na gagamitin laban sa mga partikular na organisasyon. Ang ilang phishing email ay naglalaman pa ng kumpidensyal o pribadong impormasyon na hindi available sa publiko. Kapag isinagawa ng mga biktima ang mga dokumentong Word na may sandata na naka-attach sa mga email ng pang-akit, nagti-trigger ito ng sirang code na nagsasamantala sa kahinaan ng CVE-2017-11882. Ang mga detalye tungkol sa mga pag-atake at ang nakakasakit na arsenal ng mga hacker ay inilabas sa isang ulat ng mga mananaliksik sa seguridad.
Pagsusuri ng nccTrojan
Ang nccTrojan malware ay naiugnay na sa TA428. Sa katunayan, lumilitaw na ang banta ay aktibong binuo ng mga umaatake. Ang pag-install ng banta sa nalabag na device ay nagsisimula sa pag-download ng ilang file mula sa Command-and-Control (C2, C&C) server. Ang executable ay inihahatid sa anyo ng isang .cab file na may arbitrary na pangalan. Ang utility ng expand system ay kinakailangan upang i-unpack ang naihatid na file sa isang umiiral nang direktoryo na kabilang sa isang lehitimong produkto ng software. Bilang karagdagan, ang mga hacker ay nag-drop din ng isang espesyal na bahagi ng installer na nakatalaga sa pagrehistro ng DLL ng nccTrojan bilang isang serbisyo. Ang paggawa nito ay nagsisiguro na ang banta ay awtomatikong mailo-load sa bawat system startup.
Pagkatapos maging aktibo, susubukan ng pangunahing module ng nccTrojan na magtatag ng contact sa isang listahan ng mga naka-hardcode na C2 address. Ang lahat ng kasunod na komunikasyon ay ipapadala sa server na unang tumugon. Sa unang pakikipag-ugnayan, nagpapadala rin ang banta ng iba't ibang pangkalahatang impormasyon tungkol sa nalabag na system, tulad ng pangalan ng computer, IP address, user name, bersyon ng malware, data ng localization ng system at higit pa. Ang nccTrojan ay nagbibigay din sa mga umaatake ng backdoor functionality, ang kakayahang magsagawa ng mga command, maglunsad ng mga executable na file, pumatay ng mga piling proseso, manipulahin ang file system, kumuha ng karagdagang mga payload mula sa C2 at higit pa.
