NccTrojan Gebruikt door TA428 Threat Actor

Een recent rapport gepubliceerd door beveiligingsonderzoekers met Kaspersky ICS CERT beschrijft een reeks aanvallen op entiteiten uit de militaire sector in Oost-Europa en Afghanistan. Het rapport werd in augustus 2022 gepubliceerd, maar de aanslagen vonden zo'n acht maanden eerder plaats, in januari van datzelfde jaar.

De aanvallen zijn gekoppeld aan een dreigingsactor die bekend staat als TA428 en waarvan wordt aangenomen dat het een Chinese entiteit is. Een van de tools die TA428 gebruikte bij hun aanvallen op de militaire onderzoeks- en productiefaciliteiten in Europa en Afghanistan, is een tool genaamd nccTrojan.

De payload voor nccTrojan wordt gedownload als een DLL in een gecomprimeerd .cab-bestand met een schijnbaar willekeurige naam. Het extraheren van de payload wordt gedaan met behulp van het expand-hulpprogramma dat op het slachtoffersysteem te vinden is. De payload wordt vervolgens geëxtraheerd naar een reeds bestaande map die bij een legitieme toepassing hoort. Voorbeelden in het rapport waren onder meer Adobe-mappen, Inten shader-cachedirectory's en antivirussoftwaredirectory's.

Het kwaadaardige DLL-bestand is geregistreerd als een service en zorgt ervoor dat de payload automatisch wordt uitgevoerd bij het opstarten van het systeem. Eenmaal gelanceerd, maakt de nccTrojan verbinding met zijn commandoserverinfrastructuur en wacht op invoercommando's. Het kan een reeks taken uitvoeren, waaronder het uitvoeren van opdrachten, het starten van uitvoerbare bestanden, het doden van processen, het verwijderen van bestanden en mappen en het verzamelen van informatie over schijven die op het systeem zijn aangesloten.