{
	"id": "d9456931-c34a-45e6-9134-11c966e12a74",
	"created_at": "2026-04-06T01:29:08.362316Z",
	"updated_at": "2026-04-10T03:33:18.51487Z",
	"deleted_at": null,
	"sha1_hash": "2bdaab345f4b47c2d04c4473cffc50c0e0a30ce0",
	"title": "標的型攻撃グループTA428が防衛・航空関連組織に対して使用したマルウェアnccTrojanについて",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 417350,
	"plain_text": "標的型攻撃グループTA428が防衛・航空関連組織に対して使用\r\nしたマルウェアnccTrojanについて\r\nBy NTTセキュリティ・ジャパン株式会社\r\nPublished: 2021-02-18 · Archived: 2026-04-06 01:10:11 UTC\r\nBy Hiroki Hada\r\nPublished February 18, 2021 | Japanese\r\n本日の記事は、SOC アナリスト 小澤 文生、小池 倫太郎の記事です。\r\n---\r\nこれまでのブログ[1][2][3] でTmangerとそれに関連するマルウェアについて紹介しました。Tmangerは\r\n私達が2020年2月に、TA428のOperation LagTime ITについて行ったリサーチ で観測したマルウェアで\r\nす。詳細はVB2020 localhostでの発表資料[4]を参照していただきたいと思いますが、そのリサーチでは\r\nTmanger以外にも未知のマルウェアを観測しました。私達はそのマルウェアをnccTrojanと呼んでおり、\r\nこれまでに4つのバージョンを確認しています。今回はnccTrojanについて、解析結果を共有します。\r\nnccTrojan\r\nnccTrojan（あるいはMsmRATとも呼ばれる）はTmangerと同様に、TA428が使用するRATです。私達は\r\nロシアやモンゴルといった東アジアの防衛・航空関連組織に対する攻撃でnccTrojanが使用されている\r\nことを複数観測しています。\r\nnccTrojanは攻撃の初期段階（Royal Road RTF Weaponizerによって生成されたRTFを開くこと）で実行さ\r\nれることもありますし、より攻撃が進行した横展開後に実行されることもあります。しかし、TA428が\r\n使う他のRAT（SPIVYやCotx RAT）とは異なり、観測数は極めて少なく、これまでほとんど知られてい\r\nませんでした。私達の調査では、少なくとも2019年3月頃には開発されており、2020年11月にも使用が\r\n確認されています。\r\nnccTrojanにはv1とv2の2つのメジャーバージョンが存在すると考えられます。それぞれの中ではより細\r\nかくマイナーバージョンが区切られており、例えばv1はv1.6やv1.7が存在しますが、それらの実装には\r\nそれほど大きな差は存在しません。しかし、v1とv2の実装はかなり異なっており、一見すると同一の\r\nマルウェアファミリであるとは考えられません。私達は「同一の攻撃グループ（TA428）、攻撃キャン\r\nペーン（Operation LagTime IT）で使用されていること」「PDBパスの共通点」からv1とv2を同一のマ\r\nルウェアファミリとして扱っていますが、v2が登場してからもv1が使用されることがあり、v1とv2は\r\n独立した関係にあるのかもしれません。そのため、以下ではv1とv2のそれぞれの機能・特徴につい\r\nて、解析結果を示します。\r\nAnalysis Result\r\nhttps://insight-jp.nttsecurity.com/post/102gr6l/ta428ncctrojan\r\nPage 1 of 7\n\nVersion 1\r\n私達が発見した最も古いnccTrojanは2019年3月頃のv1.6です。その後、2020年11月にもv1の使用を観測\r\nしました。その際の検体はバージョン情報が含まれていないものの、v1.6と極めて類似しており、ほと\r\nんどの機能は同一でした。そのため、以下ではv1.6について扱います。\r\nファイル名 PDBパス\r\nOSE.EXE C:\\Users\\abc\\Desktop\\cTrojan\\1.6\\HK\\Release\\Microsoft Synchronization Manager.pdb\r\nOSE.EXEは起動すると、まずMutexのチェックを行います。msm_1.6_Mutex というMutexが既に作成さ\r\nれている場合、その時点で終了します。存在しない場合、新たに作成し、処理を継続します。この\r\nMutexの値はバージョンによって異なっており、例えばv1.7の場合は msm_1.7_Mutex というMutexが作\r\n成されます。 msm というのはPDBパスに含まれている Microsoft Synchronization Manager の略であると\r\n考えています。Mutexを作成しない検体もあり、例えば2020年11月に観測された検体はMutexを作成し\r\nません。\r\nその後、C\u0026Cサーバーと通信を行い、コマンド操作を受け付けます。トラフィックは0x28でXORされ\r\nています。\r\nv1には以下のようにファイル操作やリモートシェル、プロセス操作など、RATとしての基本的なコマン\r\nドが実装されていることを確認しています。\r\nCommand Function\r\n\"0000\" 何もしない\r\n\"1000\" ディスク情報の送信\r\n\"1001\" ファイル情報の送信\r\nhttps://insight-jp.nttsecurity.com/post/102gr6l/ta428ncctrojan\r\nPage 2 of 7\n\n\"1002\" ファイルの削除\r\n\"1003\" プログラムの実行\r\n\"2000\" リモートシェルの起動\r\n\"2001\", \"2002\" リモートシェル上でのOSコマンドの実行\r\n\"3000\" ファイル転送用接続の確立\r\n\"3001\" ファイル転送用接続の切断\r\n\"3002\" ファイル転送用接続上での感染端末へのファイルのアップロード\r\n\"3003\" ファイル転送用接続上での感染端末からのファイルのダウンロード\r\n\"4000\" プロセスリストの送信\r\n\"4001\" プロセスの停止\r\nVersion 2\r\nv2はv1とは異なり、攻撃がさらに進行した段階（横展開後でシステム権限を既に持っている状態）で\r\n使用されます。また、起動の方法もv1とは異なっており、v2はインストーラによってサービスに登録\r\nされることで動作します。\r\n私達が観測したnccTrojanはInstsrv.exeとWindowsResKits.dllの2つのファイルから成ります。\r\nファイル名 PDBパス\r\nInstsrv.exe C:\\Users\\abc\\Desktop\\Service\\Release\\Instsrv.pdb\r\nhttps://insight-jp.nttsecurity.com/post/102gr6l/ta428ncctrojan\r\nPage 3 of 7\n\nWindowsResKits.dll C:\\Users\\abc\\Desktop\\cTrojan\\2.1\\HK\\Release\\Client.pdb\r\nInstsrv.exeはその名のとおりインストーラで、WindowsResKits.dllをシステムディレクトリにコピーし、\r\nサービスとして登録します。\r\nサービス名 イメージパス\r\nMicrosoft Windows\r\nResource Kits\r\n%SYSTEMROOT%\\System32\\svchost.exe -k WindowsResKits\r\nWindowsResKits.dllはServiceMainから起動されると、DLL 内部にある暗号化されたConfigを復号しま\r\nす。\r\n項目 値\r\nC\u0026Cサーバー 45.77.129.213:443\r\nバージョン v2.1[exe]\r\nアクティベーションコード ncc\r\nその後、C\u0026Cサーバーにアクセスし、 C\u0026Cサーバーから受信したコマンドが14（コマンド制御のアク\r\nティベート）で、さらにそのコンテンツがConfigデータのアクティベーションコードと一致している場\r\n合、バックドアとしてのコマンド受信処理が有効化されます。 C\u0026Cサーバーとのアクセスは独自の\r\nTCP通信を行い、TCPペイロードは以下のような形式になっています。\r\nTCPペイロードは、8バイトのSIZEフィールドと暗号化されたDATAフィールドで構成されています。\r\nSIZEフィールドは、DATAフィールドの長さを10進数の文字で記載し、無効な桁数は文字「x」で表し\r\nた、ユニークな値となっています。\r\nhttps://insight-jp.nttsecurity.com/post/102gr6l/ta428ncctrojan\r\nPage 4 of 7\n\nDATAフィールドはAESによって暗号化されています。鍵とIVは以下のとおりです。\r\n項目 値\r\n鍵\r\n981511371412780969AFC3AB20720187\r\n09A83A3332466A8B56FF3FAB8E6C3DAA\r\nIV 2042123224315117031B1A0A3CCDA53F\r\n暗号化されたDATAフィールドを復号すると、以下のような構造になっています。\r\n復号されたDATAフィールドには、C\u0026Cサーバーからのコマンドとそのコマンドに関連するコンテンツ\r\nが含まれています。AESはブロック暗号方式であるため、コンテンツの長さに応じて末尾にPaddingは\r\n追記されています。また、先頭8バイトはコマンドとコンテンツの長さを表していますが、TCPペイロ\r\nードのSIZEフィールドと同じ表記方式が使用されています。\r\n実装・観測されているコマンドとその機能は以下のとおりです。使用されるコマンドの値はv1と大き\r\nく異なっていますが、コマンドの機能は概ね同じ内容で構成されています。\r\nCommand Function\r\n2, 29 リモートシェルの起動\r\n3 リモートシェル上でのOSコマンドの実行（マルチバイト）\r\n4 リモートシェル上でのOSコマンドの実行（ASCII）\r\n5 ディスク情報の送信\r\nhttps://insight-jp.nttsecurity.com/post/102gr6l/ta428ncctrojan\r\nPage 5 of 7\n\n6 ファイルリストの送信\r\n8 プログラムの実行\r\n10 ファイルやフォルダの削除\r\n12 感染端末からのファイルのダウンロード\r\n14 コマンド制御のアクティベート\r\n15, 17 感染端末へのファイルのアップロード\r\n19 プロセスリストの送信\r\n21 プロセスの停止\r\n22 何もしない\r\n23 ファイルのコピー\r\n26 ファイルの移動\r\nツール\r\nnccTrojanはv1でもv2でも、C\u0026Cサーバーと通信する際のデータはエンコードされています。v1は単純\r\nなXORであるため復号は容易ですが、v2は多少複雑な構造となっています。そこで、私達はv2のトラ\r\nフィックをデコードして内容をパースするツールを作成しました。関連するマルウェアの解析やイン\r\nシデント調査にご活用ください。\r\nダウンロード ページの「C\u0026C Traffic Decryption Tools for Tmanger/nccTrojan」からダウンロードいただ\r\nけます。\r\nさいごに\r\nhttps://insight-jp.nttsecurity.com/post/102gr6l/ta428ncctrojan\r\nPage 6 of 7\n\nnccTrojanはv1もv2も両方とも、現在でも継続して開発が続いており、使用されているRATです。ロシア\r\nやモンゴルなどの航空・軍事組織に対する攻撃で多用されていますが、Tmangerのように他の攻撃グル\r\nープと共有する可能性があります。今後も引き続き警戒していく必要があるでしょう。\r\nIOC\r\nC\u0026Cサーバー\r\ncustom.songuulcomiss[.]com (103[.]106.250.239)\r\n95[.]179.131.29\r\n45[.]77.129.213\r\nnews.niiriip[.]com (51[.]89.133.251)\r\nファイル情報\r\nVersion SHA256 PDB\r\nN/A\r\n21d1324c4ff4d68453d6745a1467ef3a\r\ncf8a853052e3425d12ad85c9b631f968\r\nN/A\r\n1.6\r\n4c22eb33aa1d10511eaf8d13098e2687\r\ne44eaebc5af8112473e28acedac34bea\r\nC:\\Users\\abc\\Desktop\\cTrojan\\1.6\\HK\\Release\\Microsoft\r\nSynchronization Manager.pdb\r\n2.1\r\n4651c51c86e4fc1a2bcad81936970ea5\r\n49742a89316fa28e26433e94a8f13b66\r\nC:\\Users\\abc\\Desktop\\cTrojan\\2.1\\HK\\Release\\Client.pdb\r\n2.2\r\n3be516735bafbb02ba71d56d35aee8ce\r\n2ef403d08a4dc47b46d5be96ac342bc9\r\nC:\\Users\\abc\\Desktop\\cTrojan\\2.2\\HK\\Release\\Client.pdb\r\n参考文献\r\n[1] NTT Security Japan, Panda’s New Arsenal: Part 1 Tmanger\r\n[2] NTT Security Japan, Panda’s New Arsenal: Part 2 Albaniiutas\r\n[3] NTT Security Japan, Panda’s New Arsenal: Part 3 Smanager\r\n[4] VB2020 localhost, Operation LagTime IT: colorful Panda footprint\r\nSource: https://insight-jp.nttsecurity.com/post/102gr6l/ta428ncctrojan\r\nhttps://insight-jp.nttsecurity.com/post/102gr6l/ta428ncctrojan\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://insight-jp.nttsecurity.com/post/102gr6l/ta428ncctrojan"
	],
	"report_names": [
		"ta428ncctrojan"
	],
	"threat_actors": [
		{
			"id": "2f07a03f-eb1f-47c8-a8e9-a1a00f2ec253",
			"created_at": "2022-10-25T16:07:24.277669Z",
			"updated_at": "2026-04-10T02:00:04.919609Z",
			"deleted_at": null,
			"main_name": "TA428",
			"aliases": [
				"Operation LagTime IT",
				"Operation StealthyTrident",
				"ThunderCats"
			],
			"source_name": "ETDA:TA428",
			"tools": [
				"8.t Dropper",
				"8.t RTF exploit builder",
				"8t_dropper",
				"Agent.dhwf",
				"Albaniiutas",
				"BlueTraveller",
				"Chymine",
				"Cotx RAT",
				"CoughingDown",
				"Darkmoon",
				"Destroy RAT",
				"DestroyRAT",
				"Gen:Trojan.Heur.PT",
				"Kaba",
				"Korplug",
				"LuckyBack",
				"PhantomNet",
				"PlugX",
				"Poison Ivy",
				"RedDelta",
				"RoyalRoad",
				"SManager",
				"SPIVY",
				"Sogu",
				"TIGERPLUG",
				"TManger",
				"TVT",
				"Thoper",
				"Xamtrav",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "20b5fa2f-2ef1-4e69-8275-25927a762f72",
			"created_at": "2025-08-07T02:03:24.573647Z",
			"updated_at": "2026-04-10T02:00:03.765721Z",
			"deleted_at": null,
			"main_name": "BRONZE DUDLEY",
			"aliases": [
				"TA428 ",
				"Temp.Hex ",
				"Vicious Panda "
			],
			"source_name": "Secureworks:BRONZE DUDLEY",
			"tools": [
				"NCCTrojan",
				"PhantomNet",
				"PoisonIvy",
				"Royal Road"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "a4aca3ca-9e04-42d1-b037-f7fb3fbab0b1",
			"created_at": "2023-01-06T13:46:39.042499Z",
			"updated_at": "2026-04-10T02:00:03.194713Z",
			"deleted_at": null,
			"main_name": "TA428",
			"aliases": [
				"BRONZE DUDLEY",
				"Colourful Panda"
			],
			"source_name": "MISPGALAXY:TA428",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775438948,
	"ts_updated_at": 1775791998,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/2bdaab345f4b47c2d04c4473cffc50c0e0a30ce0.pdf",
		"text": "https://archive.orkl.eu/2bdaab345f4b47c2d04c4473cffc50c0e0a30ce0.txt",
		"img": "https://archive.orkl.eu/2bdaab345f4b47c2d04c4473cffc50c0e0a30ce0.jpg"
	}
}