TA428 Threat Actor 使用的 nccTrojan
卡巴斯基 ICS CERT 的安全研究人员最近发布的一份报告详细介绍了针对位于东欧和阿富汗的军事部门实体的一系列攻击。该报告于 2022 年 8 月发布,但袭击发生在大约 8 个月前,即同年 1 月。
这些攻击与一个名为 TA428 的威胁行为者有关,该攻击者被认为是一个中国实体。 TA428 在攻击欧洲和阿富汗的军事研究和生产设施时使用的工具之一是名为 nccTrojan 的工具。
nccTrojan 的有效负载以 DLL 的形式下载到压缩的 .cab 文件中,名称看似随机。使用受害系统上的扩展实用程序提取有效负载。然后将有效负载提取到属于某个合法应用程序的现有目录。报告中提供的示例包括 Adobe 文件夹、Inten 着色器缓存目录和防病毒软件目录。
恶意 DLL 文件注册为服务,并允许有效负载在系统启动时自动运行。一旦启动,nccTrojan 会链接到它的命令服务器基础设施并等待输入命令。它可以执行一系列任务,包括执行命令、启动可执行文件、终止进程、删除文件和文件夹以及收集连接到系统的驱动器上的信息。