Nový čínsky malvér zacielil na najväčšieho ruského dizajnéra jadrových ponoriek

Nedávno bol spozorovaný aktér hrozby, ktorý pracuje v mene čínskych štátom sponzorovaných záujmov, ako sa zameriava na dodávateľa obrany so sídlom v Rusku, ktorý sa podieľa na navrhovaní jadrových ponoriek pre námornú časť ruských ozbrojených síl.

Phishingový útok, ktorý si vybral generálneho riaditeľa pracujúceho v Rubin Design Bureau, využil neslávne známy zbraňový nástroj „Royal Road“ Rich Text Format (RTF) na poskytnutie predtým nezdokumentovaného Windows zadné vrátka dabované “PortDoor“, podľa spravodajského tímu hrozieb Nocturnus spoločnosti Cybereason.

„Portdoor má viacero funkcií, vrátane schopnosti vykonávať prieskum, profilovanie cieľa, doručovanie dodatočných dát, eskaláciu privilégií, obchádzanie antivírusovej manipulácie pri statickej detekcii, jednobajtové šifrovanie XOR, exfiltráciu dát zašifrovaných AES a ďalšie,“ uviedli vedci v zápis v piatok.

Rubin Design Bureau je návrhárske centrum ponoriek v Petrohrade, ktoré od svojho vzniku v roku 1901 tvorí viac ako 85 % ponoriek sovietskeho a ruského námorníctva, vrátane niekoľkých generácií ponoriek strategických raketových krížnikov.

Obsah ozbrojeného dokumentu RTF

V priebehu rokov si Royal Road vydobyla svoje miesto ako nástroj voľby medzi radom čínskych aktérov hrozieb, ako sú Goblin Panda, Rancor Group, TA428, Tick a Tonto Team. Známe využívaním viacerých nedostatkov v editore rovníc od Microsoftu (CVE-2017-11882, CVE-2018-0798 a CVE-2018-0802) už koncom roka 2018, útoky majú formu cielených spear-phishingových kampaní, ktoré využívajú škodlivé Dokumenty RTF na doručenie vlastného malvéru nič netušiacim cieľom s vysokou hodnotou.

Tento novoobjavený útok sa nelíši od toho, že protivník použil e-mail s phishingovým podvodom adresovaný firme zaoberajúcej sa návrhom ponoriek ako počiatočný vektor infekcie. Zatiaľ čo sa zistilo, že predchádzajúce verzie Royal Road zhadzovali zakódované užitočné zaťaženie pod názvom „8.t,“ e-mail prichádza s dokumentom s malvérom, ktorý po otvorení odovzdá zakódovaný súbor s názvom „eo“ na získanie implantátu PortDoor, čo znamená, že sa používa nový variant zbraňového zariadenia.

Hovorí sa, že je navrhnutý s ohľadom na zahmlievanie a vytrvalosť, PortDoor prevádzkuje škálu zadných vrátok so širokou škálou funkcií, ktoré mu umožňujú profilovať počítač obete, eskalovať privilégiá, sťahovať a spúšťať ľubovoľné užitočné zaťaženia prijaté zo servera kontrolovaného útočníkom a exportovať výsledky späť na server.

„Vektor infekcie, štýl sociálneho inžinierstva, používanie RoyalRoad proti podobným cieľom a ďalšie podobnosti medzi novoobjavenou vzorkou zadných vrátok a iným známym čínskym malvérom APT nesú znaky aktéra hrozby, ktorý pôsobí v mene čínskych štátom sponzorovaných záujmov,“ povedali výskumníci.