NccTrojan utilizado por el actor de amenazas TA428
Un informe reciente publicado por investigadores de seguridad con Kaspersky ICS CERT detalla una serie de ataques contra entidades del sector militar ubicadas en Europa del Este y Afganistán. El informe se publicó en agosto de 2022 pero los ataques se produjeron unos ocho meses antes, en enero del mismo año.
Los ataques están vinculados a un actor de amenazas conocido como TA428, que se cree que es una entidad china. Una de las herramientas que TA428 empleó en sus ataques contra las instalaciones militares de investigación y producción en Europa y Afganistán es una herramienta llamada nccTrojan.
La carga útil de nccTrojan se descarga como una DLL dentro de un archivo .cab comprimido con un nombre aparentemente aleatorio. La extracción de la carga útil se realiza mediante la utilidad de expansión que se encuentra en el sistema de la víctima. Luego, la carga útil se extrae a un directorio ya existente que pertenece a alguna aplicación legítima. Los ejemplos proporcionados en el informe incluyen carpetas de Adobe, directorios de caché de sombreado Inten y directorios de software antivirus.
El archivo DLL malicioso se registra como un servicio y permite que la carga útil se ejecute automáticamente al arrancar el sistema. Una vez lanzado, el nccTrojan se vincula a su infraestructura de servidor de comando y espera los comandos de entrada. Puede realizar una variedad de tareas, incluida la ejecución de comandos, el lanzamiento de archivos ejecutables, la eliminación de procesos, la eliminación de archivos y carpetas y la recopilación de información en las unidades conectadas al sistema.
