TA428 Threat Actor 使用的 nccTrojan
卡巴斯基 ICS CERT 的安全研究人員最近發布的一份報告詳細介紹了針對位於東歐和阿富汗的軍事部門實體的一系列攻擊。該報告於 2022 年 8 月發布,但襲擊發生在大約 8 個月前,即同年 1 月。
這些攻擊與一個名為 TA428 的威脅行為者有關,該攻擊者被認為是一個中國實體。 TA428 在攻擊歐洲和阿富汗的軍事研究和生產設施時使用的工具之一是名為 nccTrojan 的工具。
nccTrojan 的有效負載以 DLL 的形式下載到壓縮的 .cab 文件中,名稱看似隨機。使用受害系統上的擴展實用程序提取有效負載。然後將有效負載提取到屬於某個合法應用程序的現有目錄。報告中提供的示例包括 Adobe 文件夾、Inten 著色器緩存目錄和防病毒軟件目錄。
惡意 DLL 文件註冊為服務,並允許有效負載在系統啟動時自動運行。一旦啟動,nccTrojan 會鏈接到它的命令服務器基礎設施並等待輸入命令。它可以執行一系列任務,包括執行命令、啟動可執行文件、終止進程、刪除文件和文件夾以及收集連接到系統的驅動器上的信息。