nccTrojan

Die nccTrojan-Bedrohung wurde in einer Reihe von Angriffen verwendet, von denen angenommen wird, dass sie von einer von China unterstützten APT-Gruppe (Advanced Persistent Threat) mit dem Namen TA428 durchgeführt wurden. Die Cyberkriminellen zielen auf militärische Unternehmen und öffentliche Einrichtungen in mehreren osteuropäischen Ländern und Afghanistan ab. Das Ziel der Drohkampagnen scheint die Datensammlung und Cyberspionage zu sein, wobei die Angreifer sechs verschiedene Malware-Bedrohungen auf den angegriffenen Computern ablegen.

Der anfängliche Zugriff auf die Geräte wird durch sehr gezielte Spear-Phishing-Kampagnen erreicht. Die TA428-Hacker erstellen benutzerdefinierte Köder-E-Mails, die gegen bestimmte Organisationen verwendet werden. Einige Phishing-E-Mails enthielten sogar vertrauliche oder private Informationen, die nicht öffentlich zugänglich sind. Wenn Opfer die bewaffneten Word-Dokumente ausführen, die an die Köder-E-Mails angehängt sind, löst dies einen beschädigten Code aus, der die Schwachstelle CVE-2017-11882 ausnutzt. Details zu den Angriffen und dem verletzenden Arsenal der Hacker wurden in einem Bericht von Sicherheitsforschern veröffentlicht.

Analyse von nccTrojan

Die nccTrojan-Malware wurde bereits TA428 zugeschrieben. Tatsächlich scheint die Bedrohung von den Angreifern aktiv entwickelt worden zu sein. Die Installation der Bedrohung auf dem angegriffenen Gerät beginnt mit dem Herunterladen mehrerer Dateien vom Command-and-Control (C2, C&C)-Server. Die ausführbare Datei wird in Form einer .cab-Datei mit beliebigem Namen geliefert. Das Erweiterungssystemdienstprogramm wird benötigt, um die gelieferte Datei in ein vorhandenes Verzeichnis zu entpacken, das zu einem legitimen Softwareprodukt gehört. Darüber hinaus legen die Hacker auch eine spezielle Installationskomponente ab, die die Aufgabe hat, die DLL von nccTrojan als Dienst zu registrieren. Dadurch wird sichergestellt, dass die Bedrohung bei jedem Systemstart automatisch geladen wird.

Nachdem das Hauptmodul von nccTrojan aktiv geworden ist, versucht es, eine Verbindung zu einer Liste von fest codierten C2-Adressen herzustellen. Die gesamte nachfolgende Kommunikation wird an den Server übertragen, der zuerst antwortet. Während des ersten Kontakts sendet die Bedrohung auch verschiedene allgemeine Informationen über das angegriffene System, wie Computername, IP-Adresse, Benutzername, Malware-Version, Systemlokalisierungsdaten und mehr. Der nccTrojan bietet den Angreifern auch Backdoor-Funktionalität, die Möglichkeit, Befehle auszuführen, ausführbare Dateien zu starten, ausgewählte Prozesse zu beenden, das Dateisystem zu manipulieren, zusätzliche Payloads vom C2 abzurufen und vieles mehr.