NccTrojan Naudojo TA428 Threat Actor

Neseniai paskelbtoje saugumo tyrinėtojų su Kaspersky ICS CERT ataskaitoje išsamiai aprašomos atakos prieš karinio sektoriaus subjektus, esančius Rytų Europoje ir Afganistane. Ataskaita buvo paskelbta 2022 m. rugpjūčio mėn., tačiau išpuoliai įvyko maždaug aštuoniais mėnesiais anksčiau, tų pačių metų sausį.

Išpuoliai yra susiję su grėsmės veikėju, žinomu kaip TA428, kuris, kaip manoma, yra Kinijos subjektas. Viena iš įrankių, kuriuos TA428 naudojo atakuodami karinius tyrimų ir gamybos įrenginius Europoje ir Afganistane, yra įrankis, pavadintas nccTrojan.

Naudingoji nccTrojan apkrova atsisiunčiama kaip DLL suglaudintame .cab faile su iš pažiūros atsitiktiniu pavadinimu. Naudingosios apkrovos ištraukimas atliekamas naudojant aukos sistemoje esančią išplėtimo įrankį. Tada naudingoji apkrova ištraukiama į jau esamą katalogą, kuris priklauso kokiai nors teisėtai programai. Ataskaitoje pateikti pavyzdžiai: „Adobe“ aplankai, „Inten shader“ talpyklos katalogai ir antivirusinės programinės įrangos katalogai.

Kenkėjiškas DLL failas užregistruojamas kaip paslauga ir leidžia automatiškai paleisti naudingą apkrovą paleidžiant sistemą. Paleidus, nccTrojan prisijungia prie savo komandų serverio infrastruktūros ir laukia įvesties komandų. Jis gali atlikti įvairias užduotis, įskaitant komandų vykdymą, vykdomųjų failų paleidimą, naikinimo procesus, failų ir aplankų trynimą ir informacijos apie prie sistemos prijungtus diskus rinkimą.