NccTrojan Brugt af TA428 Threat Actor

En nylig rapport udgivet af sikkerhedsforskere med Kaspersky ICS CERT beskriver en række angreb mod militærsektorenheder i Østeuropa og Afghanistan. Rapporten blev offentliggjort i august 2022, men angrebene fandt sted omkring otte måneder tidligere, i januar samme år.

Angrebene er knyttet til en trusselsaktør kendt som TA428, som menes at være en kinesisk enhed. Et af værktøjerne TA428 brugte i deres angreb på de militære forsknings- og produktionsfaciliteter i Europa og Afghanistan er et værktøj ved navn nccTrojan.

Nyttelasten for nccTrojan downloades som en DLL i en komprimeret .cab-fil med et tilsyneladende tilfældigt navn. Udpakning af nyttelasten udføres ved hjælp af udvidelsesværktøjet, der findes på offersystemet. Nyttelasten udtrækkes derefter til en allerede eksisterende mappe, der tilhører en legitim applikation. Eksempler i rapporten omfattede Adobe-mapper, Inten shader-cache-mapper og antivirussoftwaremapper.

Den ondsindede DLL-fil er registreret som en tjeneste og gør det muligt for nyttelasten at køre automatisk ved systemstart. Når nccTrojan er startet, kobler den op til sin kommandoserverinfrastruktur og venter på inputkommandoer. Det kan udføre en række opgaver, herunder at udføre kommandoer, starte eksekverbare filer, dræbe processer, slette filer og mapper og indsamle oplysninger om drev, der er tilsluttet systemet.