nccTrojan

nccTrojan の脅威は、TA428 として知られる中国が支援する APT (Advanced Persistent Threat) グループによって実行されたと考えられる一連の攻撃で使用されています。サイバー犯罪者は、東ヨーロッパのいくつかの国とアフガニスタンにある軍事関連の企業や公的機関を標的にしています。脅迫キャンペーンの目的は、データ収集とサイバー スパイ活動であると思われ、攻撃者は侵害されたマシンに 6 つの異なるマルウェアの脅威を投下します。

デバイスへの初期アクセスは、高度に標的を絞ったスピア フィッシング キャンペーンによって達成されます。 TA428 ハッカーは、特定の組織に対して使用されるカスタムのおとりメールを作成します。一部のフィッシング メールには、公開されていない機密情報や個人情報が含まれていました。おとりメールに添付された武器化された Word ドキュメントを被害者が実行すると、CVE-2017-11882 の脆弱性を悪用する破損したコードがトリガーされます。攻撃とハッカーの有害な武器に関する詳細は、セキュリティ研究者のレポートで公開されました。

nccTrojan の分析

nccTrojan マルウェアは、すでに TA428 によるものであることが判明しています。実際、この脅威は攻撃者によって積極的に開発されているようです。侵害されたデバイスへの脅威のインストールは、コマンド アンド コントロール (C2、C&C) サーバーからいくつかのファイルをダウンロードすることから始まります。実行可能ファイルは、任意の名前の .cab ファイルの形式で提供されます。配信されたファイルを正規のソフトウェア製品に属する既存のディレクトリに展開するには、システム拡張ユーティリティが必要です。さらに、ハッカーは、nccTrojan の DLL をサービスとして登録する役割を担う特別なインストーラー コンポーネントもドロップします。これにより、システムが起動するたびに脅威が自動的にロードされるようになります。

アクティブになった後、nccTrojan のメイン モジュールは、ハードコードされた C2 アドレスのリストとの接続を確立しようとします。以降のすべての通信は、最初に応答したサーバーに送信されます。この脅威は、最初の接触時に、コンピューター名、IP アドレス、ユーザー名、マルウェアのバージョン、システム ローカリゼーション データなど、侵害されたシステムに関するさまざまな一般情報も送信します。 nccTrojan はまた、攻撃者にバックドア機能、コマンドの実行、実行可能ファイルの起動、選択したプロセスの強制終了、ファイル システムの操作、C2 からの追加のペイロードの取得などの機能を提供します。