NccTrojan Wird von TA428 Threat Actor verwendet

Ein kürzlich von Sicherheitsforschern mit Kaspersky ICS CERT veröffentlichter Bericht beschreibt eine Reihe von Angriffen auf Einheiten des Militärsektors in Osteuropa und Afghanistan. Der Bericht wurde im August 2022 veröffentlicht, aber die Angriffe fanden etwa acht Monate zuvor statt, im Januar desselben Jahres.

Die Angriffe stehen im Zusammenhang mit einem Bedrohungsakteur namens TA428, von dem angenommen wird, dass es sich um eine chinesische Einheit handelt. Eines der Tools, die TA428 bei ihren Angriffen auf militärische Forschungs- und Produktionseinrichtungen in Europa und Afghanistan einsetzt, ist ein Tool namens nccTrojan.

Die Payload für nccTrojan wird als DLL in einer komprimierten .cab-Datei mit einem scheinbar zufälligen Namen heruntergeladen. Das Extrahieren der Nutzdaten erfolgt mithilfe des Erweiterungsdienstprogramms, das sich auf dem Opfersystem befindet. Die Nutzdaten werden dann in ein bereits vorhandenes Verzeichnis extrahiert, das zu einer legitimen Anwendung gehört. Zu den im Bericht bereitgestellten Beispielen gehörten Adobe-Ordner, Inten-Shader-Cache-Verzeichnisse und Antivirensoftware-Verzeichnisse.

Die schädliche DLL-Datei wird als Dienst registriert und ermöglicht die automatische Ausführung der Payload beim Systemstart. Nach dem Start verbindet sich der nccTrojan mit seiner Command-Server-Infrastruktur und wartet auf Eingabebefehle. Es kann eine Reihe von Aufgaben ausführen, darunter das Ausführen von Befehlen, das Starten ausführbarer Dateien, das Beenden von Prozessen, das Löschen von Dateien und Ordnern und das Sammeln von Informationen über Laufwerke, die mit dem System verbunden sind.