NccTrojan, используемый злоумышленником TA428

В недавнем отчете, опубликованном исследователями безопасности из Kaspersky ICS CERT, подробно описана серия атак на объекты военного сектора, расположенные в Восточной Европе и Афганистане. Отчет был опубликован в августе 2022 года, но атаки произошли примерно восемью месяцами ранее, в январе того же года.

Атаки связаны с злоумышленником, известным как TA428, который, как полагают, является китайской организацией. Одним из инструментов, используемых TA428 для атак на военные исследовательские и производственные объекты в Европе и Афганистане, является инструмент под названием nccTrojan.

Полезная нагрузка для nccTrojan загружается в виде DLL внутри сжатого CAB-файла с, казалось бы, случайным именем. Извлечение полезной нагрузки выполняется с помощью утилиты расширения, найденной в системе-жертве. Затем полезная нагрузка извлекается в уже существующий каталог, принадлежащий какому-либо законному приложению. Примеры, приведенные в отчете, включают папки Adobe, каталоги кэша шейдеров Inten и каталоги антивирусного программного обеспечения.

Вредоносный DLL-файл регистрируется как служба и позволяет полезной нагрузке автоматически запускаться при загрузке системы. После запуска nccTrojan подключается к своей инфраструктуре командного сервера и ожидает ввода команд. Он может выполнять ряд задач, включая выполнение команд, запуск исполняемых файлов, уничтожение процессов, удаление файлов и папок и сбор информации о дисках, подключенных к системе.