Ukendt kinesisk APT målretter Rusland mod PortDoor Malware

APT-aktører (Advanced Persistent Threat) fortsætter med deres angreb mod højt profilerede mål. Denne gang nævner nyhedsoverskrifterne et nyt stykke malware identificeret som PortDoor. Det menes at blive brugt og udviklet af en Kina-baseret APT-aktør, og indtil videre er det blevet brugt i angreb mod flere russiske sektorer, hvoraf den mest bemærkelsesværdige er forsvarssektoren. Et af målene var Rubin Design Bureau - højtstående medarbejdere blev kontaktet via spear-phishing-e-mails, der indeholdt et ondsindet udformet RTF-dokument. Ligesom andre Kina-baserede trusselsaktører stoler disse også på RoyalRoad RTF-builder-værktøjet.

Funktionerne i PortDoor Malware er ikke særlig spektakulære, men denne malware skinner med andre ting - det ser ud til, at dens udviklere har lagt vægt på et snigende design, der gør det muligt for truslen at forsøge at skjule sin tilstedeværelse og aktivitet. Truslen er i stand til at identificere populære virtuelle miljøer og ophøre med dens udførelse, hvilket gør det vanskeligere at dissekere malware.

PortDoor Malware fokuserer på spionage. Dets operatører har adgang til følgende funktioner:

• Liste over alle kørende processer.
• Administrer filsystemet.
• Læs oplysninger om diskpartition.
• Søg efter filer.
• Find, krypter og exfiltrer data.

Indtil videre er PortDoor Malware-angrebet mod den russiske forsvarssektor ikke tilskrevet en bestemt kinesisk APT. Eksperter bemærker dog, at PortDoor Malwares egenskaber og netværksinfrastruktur antyder, at højt profilerede trusselsaktører som TA428 eller Rancor kan være forbundet med angrebet.