NccTrojan

nccTrojan tehdidi, TA428 olarak bilinen Çin destekli bir APT (Gelişmiş Kalıcı Tehdit) grubu tarafından gerçekleştirildiğine inanılan bir dizi saldırıda kullanılmıştır. Siber suçlular, birkaç Doğu Avrupa ülkesinde ve Afganistan'da bulunan askeri kuruluşlar ve kamu kurumlarını hedef alıyor. Tehdit kampanyalarının amacı, tehdit aktörlerinin ihlal edilen makinelere altı farklı kötü amaçlı yazılım tehdidi bıraktığı veri toplama ve siber casusluk gibi görünüyor.

Cihazlara ilk erişim, yüksek hedefli hedef odaklı kimlik avı kampanyaları ile sağlanır. TA428 bilgisayar korsanları, belirli kuruluşlara karşı kullanılmak üzere özel cezbedici e-postalar hazırlar. Bazı kimlik avı e-postaları, herkese açık olmayan gizli veya özel bilgiler bile içeriyordu. Kurbanlar, cezbedici e-postalara eklenen silahlı Word belgelerini çalıştırdığında, CVE-2017-11882 güvenlik açığından yararlanan bozuk bir kodu tetikler. Saldırılar ve bilgisayar korsanlarının can sıkıcı cephaneliği hakkındaki ayrıntılar, güvenlik araştırmacılarının bir raporunda yayınlandı.

nccTrojan'ın analizi

nccTrojan kötü amaçlı yazılımı zaten TA428 ile ilişkilendirildi. Aslında, tehdidin saldırganlar tarafından aktif olarak geliştirildiği görülüyor. İhlal edilen cihaza tehdidin yüklenmesi, Komuta ve Kontrol (C2, C&C) sunucusundan birkaç dosyanın indirilmesiyle başlar. Yürütülebilir dosya, rastgele bir adla bir .cab dosyası biçiminde teslim edilir. Genişletilmiş sistem yardımcı programı, teslim edilen dosyayı meşru bir yazılım ürününe ait mevcut bir dizine açmak için gereklidir. Ayrıca, bilgisayar korsanları, nccTrojan'ın DLL dosyasını bir hizmet olarak kaydetmekle görevli özel bir yükleyici bileşeni de bırakır. Bunu yapmak, tehdidin her sistem başlangıcında otomatik olarak yüklenmesini sağlar.

Aktif hale geldikten sonra, nccTrojan'ın ana modülü, sabit kodlanmış C2 adresleri listesiyle bağlantı kurmaya çalışacaktır. Sonraki tüm iletişim, ilk yanıt veren sunucuya iletilecektir. İlk temas sırasında tehdit, ihlal edilen sistem hakkında bilgisayar adı, IP adresi, kullanıcı adı, kötü amaçlı yazılım sürümü, sistem yerelleştirme verileri ve daha fazlası gibi çeşitli genel bilgiler de gönderir. nccTrojan ayrıca saldırganlara arka kapı işlevselliği, komutları yürütme, yürütülebilir dosyaları başlatma, seçili süreçleri öldürme, dosya sistemini manipüle etme, C2'den ek yükler getirme ve daha fazlasını sağlar.