NccTrojan utilisé par l'acteur de menace TA428
Un récent rapport publié par des chercheurs en sécurité de Kaspersky ICS CERT détaille une série d'attaques contre des entités du secteur militaire situées en Europe de l'Est et en Afghanistan. Le rapport a été publié en août 2022 mais les attentats ont eu lieu environ huit mois plus tôt, en janvier de la même année.
Les attaques sont liées à un acteur menaçant connu sous le nom de TA428, qui serait une entité chinoise. L'un des outils utilisés par TA428 dans leurs attaques contre les installations de recherche et de production militaires en Europe et en Afghanistan est un outil nommé nccTrojan.
La charge utile pour nccTrojan est téléchargée sous forme de DLL dans un fichier .cab compressé avec un nom apparemment aléatoire. L'extraction de la charge utile est effectuée à l'aide de l'utilitaire d'expansion trouvé sur le système victime. La charge utile est ensuite extraite dans un répertoire déjà existant qui appartient à une application légitime. Les exemples fournis dans le rapport comprenaient les dossiers Adobe, les répertoires de cache de shader Inten et les répertoires de logiciels antivirus.
Le fichier DLL malveillant est enregistré en tant que service et permet à la charge utile de s'exécuter automatiquement au démarrage du système. Une fois lancé, le nccTrojan se connecte à son infrastructure de serveur de commandes et attend les commandes d'entrée. Il peut effectuer une gamme de tâches, notamment l'exécution de commandes, le lancement de fichiers exécutables, la suppression de processus, la suppression de fichiers et de dossiers et la collecte d'informations sur les lecteurs connectés au système.