nccTrojan
nccTrojan 威胁已被用于一系列攻击,据信这些攻击是由中国支持的 APT(高级持续威胁)组织 TA428 进行的。网络犯罪分子的目标是位于几个东欧国家和阿富汗的军事相关企业和公共机构。威胁活动的目标似乎是数据收集和网络间谍活动,威胁参与者在被破坏的机器上投放了六种不同的恶意软件威胁。
对设备的初始访问是通过针对性强的鱼叉式网络钓鱼活动实现的。 TA428 黑客制作定制的诱饵电子邮件,用于针对特定组织。一些网络钓鱼电子邮件甚至包含不公开的机密或私人信息。当受害者执行附在诱饵电子邮件中的武器化 Word 文档时,它会触发利用 CVE-2017-11882 漏洞的损坏代码。安全研究人员在一份报告中公布了有关攻击和黑客的伤害性武器库的详细信息。
nccTrojan分析
nccTrojan 恶意软件已被归咎于 TA428。事实上,威胁似乎是由攻击者积极开发的。从命令和控制(C2、C&C)服务器下载几个文件开始,将威胁安装到被破坏的设备上。可执行文件以具有任意名称的 .cab 文件的形式交付。需要扩展系统实用程序将交付的文件解压缩到属于合法软件产品的现有目录中。此外,黑客还删除了一个特殊的安装程序组件,其任务是将 nccTrojan 的 DLL 注册为服务。这样做可确保在每次系统启动时自动加载威胁。
激活后,nccTrojan 的主模块将尝试与硬编码的 C2 地址列表建立联系。所有后续通信都将传输到最先响应的服务器。在初次接触期间,威胁还会发送有关被入侵系统的各种一般信息,例如计算机名称、IP 地址、用户名、恶意软件版本、系统本地化数据等。 nccTrojan 还为攻击者提供后门功能、执行命令、启动可执行文件、杀死选定进程、操纵文件系统、从 C2 获取额外有效负载等的能力。
