NccTrojan

La amenaza nccTrojan se ha utilizado en una serie de ataques que se cree que lleva a cabo un grupo APT (Advanced Persistent Threat) respaldado por China conocido como TA428. Los ciberdelincuentes tienen como objetivo empresas relacionadas con el ejército e instituciones públicas ubicadas en varios países de Europa del Este y Afganistán. El objetivo de las campañas amenazantes parece ser la recopilación de datos y el espionaje cibernético, y los actores de amenazas lanzan seis amenazas de malware diferentes en las máquinas violadas.

El acceso inicial a los dispositivos se logra a través de campañas de spear-phishing altamente dirigidas. Los piratas informáticos TA428 crean correos electrónicos de señuelo personalizados para ser utilizados contra organizaciones específicas. Algunos correos electrónicos de phishing incluso contenían información confidencial o privada que no está disponible públicamente. Cuando las víctimas ejecutan los documentos de Word armados adjuntos a los correos electrónicos de señuelo, se activa un código corrupto que explota la vulnerabilidad CVE-2017-11882. Los detalles sobre los ataques y el arsenal dañino de los piratas informáticos se dieron a conocer en un informe de los investigadores de seguridad.

Análisis de nccTrojan

El malware nccTrojan ya se ha atribuido a TA428. De hecho, la amenaza parece ser desarrollada activamente por los atacantes. La instalación de la amenaza en el dispositivo violado comienza con la descarga de varios archivos del servidor Command-and-Control (C2, C&C). El ejecutable se entrega en forma de archivo .cab con un nombre arbitrario. La utilidad de expansión del sistema es necesaria para desempaquetar el archivo entregado en un directorio existente que pertenece a un producto de software legítimo. Además, los piratas informáticos también colocan un componente de instalación especial encargado de registrar la DLL de nccTrojan como un servicio. Si lo hace, se asegura de que la amenaza se cargará automáticamente en cada inicio del sistema.

Después de activarse, el módulo principal de nccTrojan intentará establecer contacto con una lista de direcciones C2 codificadas. Todas las comunicaciones posteriores se transmitirán al servidor que responda primero. Durante el contacto inicial, la amenaza también envía información general sobre el sistema violado, como el nombre de la computadora, la dirección IP, el nombre de usuario, la versión del malware, los datos de localización del sistema y más. El nccTrojan también brinda a los atacantes la funcionalidad de puerta trasera, la capacidad de ejecutar comandos, iniciar archivos ejecutables, matar procesos seleccionados, manipular el sistema de archivos, obtener cargas útiles adicionales del C2 y más.