NccTrojan TA428 Threat Actor által használt

A Kaspersky ICS CERT biztonsági kutatók által nemrég közzétett jelentés egy sor támadást részletez a kelet-európai és afganisztáni katonai szektor szervezetei ellen. A jelentést 2022 augusztusában tették közzé, de a támadásokra körülbelül nyolc hónappal korábban, ugyanazon év januárjában került sor.

A támadások egy TA428 néven ismert fenyegetett szereplőhöz kapcsolódnak, amelyről feltételezik, hogy kínai entitás. Az egyik eszköz, amelyet a TA428 az európai és afganisztáni katonai kutató- és termelési létesítmények elleni támadásai során használt, az nccTrojan nevű eszköz.

Az nccTrojan rakománya DLL-ként töltődik le egy tömörített .cab fájlban, látszólag véletlenszerű névvel. A hasznos teher kibontása az áldozat rendszeren található expand segédprogrammal történik. A hasznos adatot ezután kibontják egy már létező könyvtárba, amely valamilyen legitim alkalmazáshoz tartozik. A jelentésben szereplő példák közé tartoznak az Adobe mappák, az Inten shader gyorsítótár-könyvtárak és a víruskereső szoftverek könyvtárai.

A rosszindulatú DLL-fájl szolgáltatásként van regisztrálva, és lehetővé teszi a rakomány automatikus futtatását a rendszerindításkor. Az indítást követően az nccTrojan csatlakozik a parancskiszolgáló infrastruktúrájához, és várja a bemeneti parancsokat. Számos feladatot képes végrehajtani, beleértve a parancsok végrehajtását, a végrehajtható fájlok elindítását, a folyamatok leállítását, a fájlok és mappák törlését, valamint a rendszerhez csatlakoztatott meghajtókról szóló információk gyűjtését.