NccTrojan używany przez aktora zagrożeń TA428

Niedawny raport opublikowany przez badaczy bezpieczeństwa z Kaspersky ICS CERT opisuje serię ataków na podmioty sektora wojskowego zlokalizowane w Europie Wschodniej i Afganistanie. Raport został opublikowany w sierpniu 2022 roku, ale ataki miały miejsce jakieś osiem miesięcy wcześniej, w styczniu tego samego roku.

Ataki są powiązane z zagrożeniem znanym jako TA428, który uważa się za chiński podmiot. Jednym z narzędzi wykorzystywanych przez TA428 w atakach na wojskowe ośrodki badawcze i produkcyjne w Europie i Afganistanie jest narzędzie o nazwie nccTrojan.

Ładunek dla nccTrojan jest pobierany jako DLL w skompresowanym pliku .cab o pozornie losowej nazwie. Wyodrębnienie ładunku odbywa się za pomocą narzędzia expand znajdującego się w zaatakowanym systemie. Ładunek jest następnie wyodrębniany do już istniejącego katalogu, który należy do pewnej legalnej aplikacji. Przykłady przedstawione w raporcie obejmowały foldery Adobe, katalogi pamięci podręcznej modułów cieniujących Inten oraz katalogi oprogramowania antywirusowego.

Złośliwy plik DLL jest zarejestrowany jako usługa i umożliwia automatyczne uruchomienie ładunku podczas uruchamiania systemu. Po uruchomieniu nccTrojan łączy się z infrastrukturą serwera poleceń i czeka na polecenia wejściowe. Może wykonywać szereg zadań, w tym wykonywanie poleceń, uruchamianie plików wykonywalnych, zabijanie procesów, usuwanie plików i folderów oraz zbieranie informacji o dyskach podłączonych do systemu.