NccTrojan Utilizzato da TA428 Threat Actor

Un recente rapporto pubblicato da ricercatori di sicurezza con Kaspersky ICS CERT descrive in dettaglio una serie di attacchi contro entità del settore militare situate nell'Europa orientale e in Afghanistan. Il rapporto è stato pubblicato nell'agosto 2022 ma gli attacchi sono avvenuti circa otto mesi prima, nel gennaio dello stesso anno.

Gli attacchi sono collegati a un attore di minacce noto come TA428 che si ritiene sia un'entità cinese. Uno degli strumenti utilizzati da TA428 nei loro attacchi alle strutture di ricerca e produzione militari in Europa e in Afghanistan è uno strumento chiamato nccTrojan.

Il carico utile per nccTrojan viene scaricato come DLL all'interno di un file .cab compresso con un nome apparentemente casuale. L'estrazione del carico utile viene eseguita utilizzando l'utilità di espansione trovata sul sistema vittima. Il payload viene quindi estratto in una directory già esistente che appartiene a qualche applicazione legittima. Gli esempi forniti nel rapporto includevano le cartelle Adobe, le directory della cache dello shader Inten e le directory del software antivirus.

Il file DLL dannoso viene registrato come servizio e consente al carico utile di essere eseguito automaticamente all'avvio del sistema. Una volta avviato, nccTrojan si collega alla sua infrastruttura del server dei comandi e attende i comandi di input. Può eseguire una serie di attività tra cui l'esecuzione di comandi, l'avvio di file eseguibili, l'eliminazione di processi, l'eliminazione di file e cartelle e la raccolta di informazioni sulle unità collegate al sistema.