NccTrojan

Загроза nccTrojan використовувалася в серії атак, імовірно, здійснених підтримуваною Китаєм групою APT (Advanced Persistent Threat), відомою як TA428. Цілями кіберзлочинців є військові підприємства та державні установи, розташовані в кількох країнах Східної Європи та Афганістані. Метою загрозливих кампаній є збір даних і кібершпигунство, причому зловмисники скидають на зламані машини шість різних шкідливих програм.

Початковий доступ до пристроїв досягається за допомогою цілеспрямованих фішингових кампаній. Хакери TA428 створюють власні електронні листи-приманки, які будуть використовуватися проти певних організацій. Деякі фішингові листи навіть містили конфіденційну або приватну інформацію, яка не є загальнодоступною. Коли жертви виконують збройні документи Word, прикріплені до електронних листів-принад, це запускає пошкоджений код, який використовує вразливість CVE-2017-11882. Подробиці про атаки та шкідливий арсенал хакерів були оприлюднені у звіті дослідників безпеки.

Аналіз nccTrojan

Зловмисне програмне забезпечення nccTrojan вже було приписано TA428. Фактично, схоже, що загроза активно розвивається зловмисниками. Встановлення загрози на зламаний пристрій починається із завантаження кількох файлів із командно-контрольного (C2, C&C) сервера. Виконуваний файл поставляється у формі файлу .cab із довільним іменем. Системна утиліта розширення потрібна для розпакування надісланого файлу в існуючий каталог, що належить законному програмному продукту. Крім того, хакери також скидають спеціальний компонент інсталятора, завданням якого є реєстрація DLL nccTrojan як служби. Це гарантує автоматичне завантаження загрози під час кожного запуску системи.

Ставши активним, головний модуль nccTrojan спробує встановити зв’язок зі списком жорстко закодованих адрес C2. Усі наступні повідомлення будуть передані на сервер, який відповість першим. Під час першого контакту загроза також надсилає різну загальну інформацію про зламану систему, таку як ім’я комп’ютера, IP-адреса, ім’я користувача, версія шкідливого програмного забезпечення, дані про локалізацію системи тощо. Троян ncc також надає зловмисникам функціонал бекдорів, можливість виконувати команди, запускати виконувані файли, знищувати вибрані процеси, маніпулювати файловою системою, отримувати додаткові корисні дані з C2 тощо.