NccTrojan Χρησιμοποιείται από το TA428 Threat Actor

Μια πρόσφατη έκθεση που δημοσιεύτηκε από ερευνητές ασφαλείας με το Kaspersky ICS CERT περιγράφει μια σειρά επιθέσεων εναντίον οντοτήτων του στρατιωτικού τομέα που βρίσκονται στην Ανατολική Ευρώπη και το Αφγανιστάν. Η έκθεση δημοσιεύθηκε τον Αύγουστο του 2022, αλλά οι επιθέσεις έγιναν περίπου οκτώ μήνες νωρίτερα, τον Ιανουάριο του ίδιου έτους.

Οι επιθέσεις συνδέονται με έναν παράγοντα απειλής γνωστό ως TA428 που πιστεύεται ότι είναι κινεζική οντότητα. Ένα από τα εργαλεία που χρησιμοποίησε ο TA428 στις επιθέσεις του στις στρατιωτικές εγκαταστάσεις έρευνας και παραγωγής στην Ευρώπη και το Αφγανιστάν είναι ένα εργαλείο που ονομάζεται nccTrojan.

Το ωφέλιμο φορτίο για το nccTrojan γίνεται λήψη ως DLL μέσα σε ένα συμπιεσμένο αρχείο .cab με ένα φαινομενικά τυχαίο όνομα. Η εξαγωγή του ωφέλιμου φορτίου γίνεται χρησιμοποιώντας το βοηθητικό πρόγραμμα επέκτασης που βρίσκεται στο σύστημα θυμάτων. Στη συνέχεια, το ωφέλιμο φορτίο εξάγεται σε έναν ήδη υπάρχοντα κατάλογο που ανήκει σε κάποια νόμιμη εφαρμογή. Τα παραδείγματα που παρέχονται στην αναφορά περιελάμβαναν φακέλους Adobe, καταλόγους προσωρινής μνήμης Shader Inten και καταλόγους λογισμικού προστασίας από ιούς.

Το κακόβουλο αρχείο DLL καταχωρείται ως υπηρεσία και επιτρέπει στο ωφέλιμο φορτίο να εκτελείται αυτόματα κατά την εκκίνηση του συστήματος. Μόλις εκκινηθεί, το nccTrojan συνδέεται με την υποδομή διακομιστή εντολών του και περιμένει για εντολές εισαγωγής. Μπορεί να εκτελέσει μια σειρά εργασιών, όπως εκτέλεση εντολών, εκκίνηση εκτελέσιμων αρχείων, θανάτωση διεργασιών, διαγραφή αρχείων και φακέλων και συλλογή πληροφοριών για μονάδες δίσκου που είναι συνδεδεμένες στο σύστημα.