Sydøstasiens regeringsenheder målrettet mod sejrens bagdør

Cybersikkerhedsspecialister har identificeret en ny spionagekampagne for cyberkriminalitet, der er rettet mod diplomatiske og regeringsenheder i Sydøstasien. Mens gerningsmanden for angrebet endnu ikke er identificeret, rapporterer eksperter, at de sandsynligvis stammer fra Kina i betragtning af den type enheder, de målretter mod, samt det faktum, at de har brugt RoyalRoad-våbenmaskinen til at skabe ondsindede RTF-filer. Ud over disse to fund bemærker forskere også, at en helt ny malware-familie er blevet introduceret i denne kampagne, Victory Backdoor.

Ofrene blev kontaktet via spydfishing-e-mails med den førnævnte våbeniserede RTF-vedhæftet fil. Det overraskende ved Victory Backdoor er, at det ser ud til at have været under udvikling i meget lang tid - de tidligste versioner af nyttelasten blev samlet for over tre år siden.

Formålet med Victory Backdoor er at give operatørerne vedvarende adgang til det kompromitterede netværk såvel som at stille exfiltrere data fra det. Det kan manipulere filer, få fat i skærmbilleder og samle forskellige detaljer om det kompromitterede systems hardware- og softwarekonfiguration. Udviklerne af malware ser ud til at have lagt ekstra vægt på sikkerheden ved kommunikationen mellem implantatet og kontrolserveren - disse forbindelser er stærkt krypterede og tilslørede.

Indtil videre har der ikke været tilstrækkelig information til at tilskrive Victory Backdoors udvikling og anvendelse til en bestemt kinesisk Advanced Persistent Threat (APT) aktør, men forskere har stor tillid til, at kriminelle faktisk opererer fra Kina.