Unbekannter chinesischer APT zielt mit der PortDoor-Malware auf Russland ab

Fortgeschrittene Akteure der persistenten Bedrohung (Advanced Persistent Threat, APT) setzen ihre Angriffe gegen hochkarätige Ziele fort. Diesmal wird in den Schlagzeilen eine neue Malware erwähnt, die als PortDoor identifiziert wurde. Es wird angenommen, dass es von einem in China ansässigen APT-Akteur verwendet und entwickelt wurde. Bisher wurde es bei Angriffen gegen mehrere russische Sektoren eingesetzt, von denen der Verteidigungssektor am bemerkenswertesten ist. Eines der Ziele war das Rubin Design Bureau - hochrangige Mitarbeiter wurden über Spear-Phishing-E-Mails angesprochen, die ein böswillig erstelltes RTF-Dokument enthielten. Genau wie andere in China ansässige Bedrohungsakteure verlassen sich auch diese auf das RoyalRoad RTF Builder-Dienstprogramm.

Die Funktionen der PortDoor-Malware sind nicht sehr spektakulär, aber diese Malware glänzt mit anderen Dingen - es scheint, dass ihre Entwickler ein verstohlenes Design betont haben, das es der Bedrohung ermöglicht, ihre Präsenz und Aktivität zu verbergen. Die Bedrohung kann beliebte virtuelle Umgebungen identifizieren und deren Ausführung einstellen, wodurch es schwieriger wird, die Malware zu zerlegen.

Die PortDoor-Malware konzentriert sich auf Spionage. Die Betreiber haben Zugriff auf folgende Funktionen:

• Listen Sie alle laufenden Prozesse auf.
• Verwalten Sie das Dateisystem.
• Lesen Sie die Informationen zur Festplattenpartition.
• Nach Dateien suchen.
• Suchen, verschlüsseln und exfiltrieren Sie Daten.

Bisher wurde der Angriff von PortDoor Malware auf den russischen Verteidigungssektor keinem bestimmten chinesischen APT zugeschrieben. Experten weisen jedoch darauf hin, dass die Eigenschaften und die Netzwerkinfrastruktur der PortDoor-Malware darauf hindeuten, dass hochkarätige Bedrohungsakteure wie TA428 oder Rancor mit dem Angriff in Verbindung gebracht werden könnten.