NccTrojan TA428攻撃者が使用

Kaspersky ICS CERT のセキュリティ研究者によって公開された最近のレポートでは、東ヨーロッパとアフガニスタンにある軍事部門のエンティティに対する一連の攻撃について詳しく説明しています。このレポートは 2022 年 8 月に公開されましたが、攻撃はそれよりも約 8 か月早く、同年 1 月に行われました。

この攻撃は、中国のエンティティであると考えられている TA428 として知られる攻撃者に関連しています。 TA428 がヨーロッパとアフガニスタンの軍事研究および生産施設への攻撃に使用したツールの 1 つは、nccTrojan という名前のツールです。

nccTrojan のペイロードは、一見ランダムな名前の圧縮された .cab ファイル内に DLL としてダウンロードされます。ペイロードの抽出は、被害者のシステムにある展開ユーティリティを使用して行われます。その後、ペイロードは、正当なアプリケーションに属する既存のディレクトリに抽出されます。レポートで提供された例には、Adobe フォルダー、Inten シェーダー キャッシュ ディレクトリ、ウイルス対策ソフトウェア ディレクトリが含まれていました。

悪意のある DLL ファイルはサービスとして登録され、システムの起動時にペイロードが自動的に実行されるようにします。起動されると、nccTrojan はそのコマンド サーバー インフラストラクチャにリンクし、入力コマンドを待ちます。コマンドの実行、実行可能ファイルの起動、プロセスの強制終了、ファイルとフォルダーの削除、システムに接続されたドライブに関する情報の収集など、さまざまなタスクを実行できます。