NccTrojan usado pelo ator de ameaça TA428

Um relatório recente publicado por pesquisadores de segurança com o Kaspersky ICS CERT detalha uma série de ataques contra entidades do setor militar localizadas na Europa Oriental e no Afeganistão. O relatório foi publicado em agosto de 2022, mas os ataques ocorreram cerca de oito meses antes, em janeiro do mesmo ano.

Os ataques estão ligados a um agente de ameaças conhecido como TA428, que se acredita ser uma entidade chinesa. Uma das ferramentas que o TA428 empregou em seus ataques às instalações militares de pesquisa e produção na Europa e no Afeganistão é uma ferramenta chamada nccTrojan.

A carga útil do nccTrojan é baixada como uma DLL dentro de um arquivo .cab compactado com um nome aparentemente aleatório. A extração da carga útil é feita usando o utilitário de expansão encontrado no sistema da vítima. A carga útil é então extraída para um diretório já existente que pertence a algum aplicativo legítimo. Os exemplos fornecidos no relatório incluem pastas da Adobe, diretórios de cache do sombreador Inten e diretórios de software antivírus.

O arquivo DLL malicioso é registrado como um serviço e permite que a carga útil seja executada automaticamente na inicialização do sistema. Uma vez iniciado, o nccTrojan se conecta à infraestrutura do servidor de comando e aguarda os comandos de entrada. Ele pode executar uma série de tarefas, incluindo executar comandos, iniciar arquivos executáveis, eliminar processos, excluir arquivos e pastas e coletar informações sobre unidades conectadas ao sistema.