NccTrojan Brukt av TA428 Threat Actor
En nylig rapport publisert av sikkerhetsforskere med Kaspersky ICS CERT beskriver en serie angrep mot enheter i militærsektoren lokalisert i Øst-Europa og Afghanistan. Rapporten ble publisert i august 2022, men angrepene fant sted åtte måneder tidligere, i januar samme år.
Angrepene er knyttet til en trusselaktør kjent som TA428 som antas å være en kinesisk enhet. Et av verktøyene TA428 brukte i sine angrep på militære forsknings- og produksjonsanlegg i Europa og Afghanistan er et verktøy kalt nccTrojan.
Nyttelasten for nccTrojan lastes ned som en DLL i en komprimert .cab-fil med et tilsynelatende tilfeldig navn. Uttak av nyttelasten gjøres ved å bruke utvidelsesverktøyet som finnes på offersystemet. Nyttelasten trekkes deretter ut til en allerede eksisterende katalog som tilhører en legitim applikasjon. Eksempler gitt i rapporten inkluderer Adobe-mapper, Inten shader-bufferkataloger og antivirusprogramvarekataloger.
Den ondsinnede DLL-filen er registrert som en tjeneste og lar nyttelasten kjøres automatisk ved systemoppstart. Når den er lansert, kobles nccTrojan opp til kommandoserverinfrastrukturen og venter på inndatakommandoer. Den kan utføre en rekke oppgaver, inkludert å utføre kommandoer, starte kjørbare filer, drepe prosesser, slette filer og mapper og samle informasjon om stasjoner som er koblet til systemet.