Άγνωστο κινεζικό APT στοχεύει τη Ρωσία με το κακόβουλο λογισμικό PortDoor
Οι ηθοποιοί Advanced Persistent Threat (APT) συνεχίζουν τις επιθέσεις τους εναντίον υψηλού προφίλ στόχων. Αυτή τη φορά, οι τίτλοι των ειδήσεων αναφέρουν ένα νέο κομμάτι κακόβουλου λογισμικού που αναγνωρίζεται ως PortDoor. Πιστεύεται ότι χρησιμοποιείται και αναπτύχθηκε από έναν ηθοποιό APT με έδρα την Κίνα και, μέχρι στιγμής, έχει χρησιμοποιηθεί σε επιθέσεις εναντίον πολλών ρωσικών τομέων, οι πιο σημαντικοί από τους οποίους είναι ο αμυντικός τομέας. Ένας από τους στόχους ήταν το Rubin Design Bureau - οι υψηλόβαθμοι υπάλληλοι προσεγγίστηκαν μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος (phear-phishing) που περιείχαν ένα κακόβουλα δημιουργημένο έγγραφο RTF. Ακριβώς όπως και άλλοι παράγοντες απειλής με έδρα την Κίνα, αυτοί βασίζονται επίσης στο βοηθητικό πρόγραμμα οικοδόμων RoyalRoad RTF.
Οι δυνατότητες του PortDoor Malware δεν είναι πολύ εντυπωσιακές, αλλά αυτό το κακόβουλο λογισμικό λάμπει με άλλα πράγματα - φαίνεται ότι οι προγραμματιστές του έχουν δώσει έμφαση σε μια κρυφή σχεδίαση, η οποία επιτρέπει στην απειλή να προσπαθήσει να κρύψει την παρουσία και τη δραστηριότητά του. Η απειλή είναι σε θέση να εντοπίσει δημοφιλή εικονικά περιβάλλοντα και να σταματήσει την εκτέλεσή της, καθιστώντας έτσι πιο δύσκολη την ανατομή του κακόβουλου προγράμματος.
Το PortDoor Malware επικεντρώνεται στην κατασκοπεία. Οι χειριστές του έχουν πρόσβαση στις ακόλουθες δυνατότητες:
- Λίστα όλων των διαδικασιών που εκτελούνται.
- Διαχειριστείτε το σύστημα αρχείων.
- Διαβάστε πληροφορίες κατάτμησης δίσκου.
- Αναζήτηση αρχείων.
- Εύρεση, κρυπτογράφηση και εξαγωγή δεδομένων.
Μέχρι στιγμής, η επίθεση PortDoor Malware εναντίον του ρωσικού αμυντικού τομέα δεν έχει αποδοθεί σε ένα συγκεκριμένο κινεζικό APT. Ωστόσο, οι ειδικοί σημειώνουν ότι οι ιδιότητες και οι υποδομές δικτύου του PortDoor Malware υποδηλώνουν ότι παράγοντες υψηλής απειλής όπως το TA428 ή το Rancor θα μπορούσαν να συσχετιστούν με την επίθεση.