Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Trojans NccTrojan

NccTrojan

Đến năm Mezo năm Trojans, Advanced Persistent Threat (APT), Backdoors
Dịch sang:
Tiếng Việt Nam

Mối đe dọa nccTrojan đã được sử dụng trong một loạt các cuộc tấn công được cho là do nhóm APT (Mối đe dọa liên tục nâng cao) do Trung Quốc hậu thuẫn thực hiện có tên TA428. Tội phạm mạng đang nhắm vào các doanh nghiệp và tổ chức công liên quan đến quân đội ở một số quốc gia Đông Âu và Afghanistan. Mục tiêu của các chiến dịch đe dọa dường như là thu thập dữ liệu và gián điệp mạng, với các tác nhân đe dọa đưa ra sáu mối đe dọa phần mềm độc hại khác nhau trên các máy vi phạm.

Quyền truy cập ban đầu vào các thiết bị đạt được thông qua các chiến dịch lừa đảo có mục tiêu cao. Các tin tặc TA428 tạo ra các email thu hút tùy chỉnh để được sử dụng chống lại các tổ chức cụ thể. Một số email lừa đảo thậm chí còn chứa thông tin bí mật hoặc riêng tư không được công bố rộng rãi. Khi nạn nhân thực thi các tài liệu Word được vũ khí hóa đính kèm với các email thu hút, nó sẽ kích hoạt mã bị hỏng khai thác lỗ hổng CVE-2017-11882. Thông tin chi tiết về các cuộc tấn công và kho vũ khí gây hại của tin tặc đã được công bố trong một báo cáo b của các nhà nghiên cứu bảo mật.

Phân tích nccTrojan

Phần mềm độc hại nccTrojan đã được quy cho TA428. Trên thực tế, mối đe dọa dường như được phát triển bởi những kẻ tấn công. Việc cài đặt mối đe dọa vào thiết bị bị xâm phạm bắt đầu bằng việc tải xuống một số tệp từ máy chủ Command-and-Control (C2, C&C). Tệp thực thi được phân phối dưới dạng tệp .cab với tên tùy ý. Tiện ích hệ thống mở rộng là cần thiết để giải nén tệp đã phân phối vào một thư mục hiện có thuộc về một sản phẩm phần mềm hợp pháp. Ngoài ra, tin tặc cũng thả một thành phần trình cài đặt đặc biệt có nhiệm vụ đăng ký DLL của nccTrojan làm dịch vụ. Làm như vậy đảm bảo rằng mối đe dọa sẽ được tải tự động khi khởi động hệ thống.

Sau khi hoạt động, mô-đun chính của nccTrojan sẽ cố gắng thiết lập liên hệ với danh sách các địa chỉ C2 được mã hóa cứng. Tất cả các giao tiếp tiếp theo sẽ được truyền đến máy chủ phản hồi trước. Trong lần tiếp xúc ban đầu, mối đe dọa cũng gửi nhiều thông tin chung khác nhau về hệ thống bị xâm phạm, chẳng hạn như tên máy tính, địa chỉ IP, tên người dùng, phiên bản phần mềm độc hại, dữ liệu bản địa hóa hệ thống và hơn thế nữa. NccTrojan cũng cung cấp cho những kẻ tấn công chức năng cửa hậu, khả năng thực thi lệnh, khởi chạy các tệp thực thi, giết các quy trình đã chọn, thao tác hệ thống tệp, tìm nạp thêm các tải trọng từ C2 và hơn thế nữa.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,356
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...