nccTrojan
La menace nccTrojan a été utilisée dans une série d'attaques qui auraient été menées par un groupe APT (Advanced Persistent Threat) soutenu par la Chine connu sous le nom de TA428. Les cybercriminels ciblent des entreprises liées à l'armée et des institutions publiques situées dans plusieurs pays d'Europe de l'Est et en Afghanistan. L'objectif des campagnes menaçantes semble être la collecte de données et le cyberespionnage, les acteurs de la menace lançant six menaces de logiciels malveillants différentes sur les machines piratées.
L'accès initial aux appareils est obtenu grâce à des campagnes de harponnage hautement ciblées. Les pirates TA428 créent des e-mails leurres personnalisés à utiliser contre des organisations spécifiques. Certains e-mails de phishing contenaient même des informations confidentielles ou privées qui ne sont pas accessibles au public. Lorsque les victimes exécutent les documents Word militarisés joints aux e-mails leurres, cela déclenche un code corrompu exploitant la vulnérabilité CVE-2017-11882. Des détails sur les attaques et l'arsenal blessant des pirates ont été publiés dans un rapport de chercheurs en sécurité.
Analyse du cheval de Troie ncc
Le malware nccTrojan a déjà été attribué à TA428. En fait, la menace semble être activement développée par les attaquants. L'installation de la menace sur l'appareil piraté commence par le téléchargement de plusieurs fichiers à partir du serveur Command-and-Control (C2, C&C). L'exécutable est livré sous la forme d'un fichier .cab avec un nom arbitraire. L'utilitaire système d'expansion est nécessaire pour décompresser le fichier livré dans un répertoire existant appartenant à un produit logiciel légitime. En outre, les pirates déposent également un composant d'installation spécial chargé d'enregistrer la DLL de nccTrojan en tant que service. Cela garantit que la menace sera chargée automatiquement à chaque démarrage du système.
Après être devenu actif, le module principal de nccTrojan tentera d'établir un contact avec une liste d'adresses C2 codées en dur. Toutes les communications ultérieures seront transmises au serveur qui répondra en premier. Lors du premier contact, la menace envoie également diverses informations générales sur le système piraté, telles que le nom de l'ordinateur, l'adresse IP, le nom d'utilisateur, la version du logiciel malveillant, les données de localisation du système, etc. Le nccTrojan fournit également aux attaquants une fonctionnalité de porte dérobée, la possibilité d'exécuter des commandes, de lancer des fichiers exécutables, de tuer des processus sélectionnés, de manipuler le système de fichiers, de récupérer des charges utiles supplémentaires à partir du C2 et plus encore.
