NccTrojan Används av TA428 Threat Actor
En nyligen publicerad rapport publicerad av säkerhetsforskare med Kaspersky ICS CERT beskriver en serie attacker mot militära enheter i Östeuropa och Afghanistan. Rapporten publicerades i augusti 2022 men attackerna ägde rum åtta månader tidigare, i januari samma år.
Attackerna är kopplade till en hotaktör känd som TA428 som tros vara en kinesisk enhet. Ett av verktygen TA428 använde i sina attacker mot militära forsknings- och produktionsanläggningar i Europa och Afghanistan är ett verktyg som heter nccTrojan.
Nyttolasten för nccTrojan laddas ner som en DLL i en komprimerad .cab-fil med ett till synes slumpmässigt namn. Att extrahera nyttolasten görs med hjälp av expanderingsverktyget som finns på offersystemet. Nyttolasten extraheras sedan till en redan existerande katalog som tillhör någon legitim applikation. Exempel i rapporten inkluderar Adobe-mappar, Inten shader-cachekataloger och antivirusprogramkataloger.
Den skadliga DLL-filen är registrerad som en tjänst och låter nyttolasten köras automatiskt vid systemstart. När den väl har lanserats länkar nccTrojan till sin kommandoserverinfrastruktur och väntar på inmatningskommandon. Den kan utföra en rad uppgifter, inklusive att köra kommandon, starta körbara filer, döda processer, ta bort filer och mappar och samla in information om enheter som är anslutna till systemet.