nccTrojan
nccTrojan 威脅已被用於一系列攻擊,據信這些攻擊是由中國支持的 APT(高級持續威脅)組織 TA428 進行的。網絡犯罪分子的目標是位於幾個東歐國家和阿富汗的軍事相關企業和公共機構。威脅活動的目標似乎是數據收集和網絡間諜活動,威脅參與者在被破壞的機器上投放了六種不同的惡意軟件威脅。
對設備的初始訪問是通過針對性強的魚叉式網絡釣魚活動實現的。 TA428 黑客製作定制的誘餌電子郵件,用於針對特定組織。一些網絡釣魚電子郵件甚至包含不公開的機密或私人信息。當受害者執行附在誘餌電子郵件中的武器化 Word 文檔時,它會觸發利用 CVE-2017-11882 漏洞的損壞代碼。安全研究人員在一份報告中公佈了有關攻擊和黑客的傷害性武器庫的詳細信息。
nccTrojan分析
nccTrojan 惡意軟件已被歸咎於 TA428。事實上,威脅似乎是由攻擊者積極開發的。從命令和控制(C2、C&C)服務器下載幾個文件開始,將威脅安裝到被破壞的設備上。可執行文件以具有任意名稱的 .cab 文件的形式交付。需要擴展系統實用程序將交付的文件解壓縮到屬於合法軟件產品的現有目錄中。此外,黑客還刪除了一個特殊的安裝程序組件,其任務是將 nccTrojan 的 DLL 註冊為服務。這樣做可確保在每次系統啟動時自動加載威脅。
激活後,nccTrojan 的主模塊將嘗試與硬編碼的 C2 地址列表建立聯繫。所有後續通信都將傳輸到最先響應的服務器。在初次接觸期間,威脅還會發送有關被入侵系統的各種一般信息,例如計算機名稱、IP 地址、用戶名、惡意軟件版本、系統本地化數據等。 nccTrojan 還為攻擊者提供後門功能、執行命令、啟動可執行文件、殺死選定進程、操縱文件系統、從 C2 獲取額外有效負載等的能力。
